La CNIL rappelle des principes essentiels pour l'e-commerce
La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié le 19 juillet 2012 un avertissement à l'encontre de FNAC DIRECT, qui exploite le site de e-commerce fnac.com, en raison de la constatation de manquements à la loi Informatique & Libertés du 6 janvier 1978.
La principale atteinte à cette loi concerne la
durée de conservation des données des internautes qui ont effectué des
transactions sur ce site. Le contrôle effectué par la CNIL au sein de FNAC DIRECT a en effet permis de démontrer que le cybermarchand conservait les
coordonnées de ses clients sans limitation dans le temps. Certaines personnes
qui n'avaient pas effectué d'achats depuis plusieurs années, parfois depuis
1999, continuaient ainsi de figurer dans le fichier clients de la société.
Cette dernière a expliqué que certains internautes
pouvaient ne pas passer de commande sur le site mais demeuraient intéressés par
les offres proposées, ce qui aurait justifié la conservation de ces
informations.
Cependant, la CNIL a rappelé que les données à caractère
personnel devaient être conservées pendant la stricte durée nécessaire à
l'accomplissement de la finalité du traitement, ce qui n'était pas le cas dans
cette hypothèse. Selon la Commission, "au-delà
de la transaction, la conservation de ces données est subordonnée au
consentement des clients et ne peut intervenir que pour une durée limitée."
Par ailleurs, les contrôles ont révélé que les
coordonnées bancaires utilisées pour payer les achats étaient également
conservées sans limitation de durée et sans aucun cryptage, ce qui concernait
aussi bien le nom des clients que les numéros des cartes de crédit et le
cryptogramme visuel. Plusieurs millions de cartes bancaires étaient ainsi
référencées, sans que FNAC DIRECT n'ait jamais procédé à un quelconque
nettoyage des données, alors même que nombre de cartes étaient dorénavant périmées.
Ces données étaient stockées dans une base
électronique sans système de sécurité particulier, en violation ici également
des dispositions de la loi Informatique & Libertés, étant précisé au
surplus que ce type de données est particulièrement sensible. Même si, en
l'espèce, aucune intrusion dans cette base de données n'a été signalée, il n'en
demeure pas moins que le caractère hautement confidentiel des coordonnées
bancaires des clients s'oppose à une conservation dans des conditions aussi
rudimentaires.
Par ailleurs, et de manière intéressante, la CNIL a
recommandé que le cryptogramme visuel ne soit pas conservé de manière indéfinie
par les cybermarchands, ceci à des fins de sécurité renforcée. Ceci signifie
que, si les internautes peuvent accepter que, pour faciliter les transactions
électroniques, le numéro et la date de validité de leur carte bancaire soient
conservés, ils devront néanmoins, pour chaque achat, rappeler les trois
chiffres figurant au dos de la carte. Ceci permet d'éviter un nombre important
de fraudes à la carte bancaire.
En l'espèce, FNAC DIRECT a assuré que les
manquements qui lui étaient reprochés par la CNIL cesseraient rapidement grâce
à la mise en place d'une nouvelle solution de paiement externalisée sur son
site internet. L'avertissement de la Commission a donc essentiellement valeur
pédagogique.