La CNIL rappelle des principes essentiels pour l'e-commerce

La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié le 19 juillet 2012 un avertissement à l'encontre de FNAC DIRECT, qui exploite le site de e-commerce fnac.com, en raison de la constatation de manquements à la loi Informatique & Libertés du 6 janvier 1978.

La principale atteinte à cette loi concerne la durée de conservation des données des internautes qui ont effectué des transactions sur ce site. Le contrôle effectué par la CNIL au sein de FNAC DIRECT a en effet permis de démontrer que le cybermarchand conservait les coordonnées de ses clients sans limitation dans le temps. Certaines personnes qui n'avaient pas effectué d'achats depuis plusieurs années, parfois depuis 1999, continuaient ainsi de figurer dans le fichier clients de la société.
Cette dernière a expliqué que certains internautes pouvaient ne pas passer de commande sur le site mais demeuraient intéressés par les offres proposées, ce qui aurait justifié la conservation de ces informations.
Cependant, la CNIL a rappelé que les données à caractère personnel devaient être conservées pendant la stricte durée nécessaire à l'accomplissement de la finalité du traitement, ce qui n'était pas le cas dans cette hypothèse. Selon la Commission, "au-delà de la transaction, la conservation de ces données est subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée."
Par ailleurs, les contrôles ont révélé que les coordonnées bancaires utilisées pour payer les achats étaient également conservées sans limitation de durée et sans aucun cryptage, ce qui concernait aussi bien le nom des clients que les numéros des cartes de crédit et le cryptogramme visuel. Plusieurs millions de cartes bancaires étaient ainsi référencées, sans que FNAC DIRECT n'ait jamais procédé à un quelconque nettoyage des données, alors même que nombre de cartes étaient dorénavant périmées.
Ces données étaient stockées dans une base électronique sans système de sécurité particulier, en violation ici également des dispositions de la loi Informatique & Libertés, étant précisé au surplus que ce type de données est particulièrement sensible. Même si, en l'espèce, aucune intrusion dans cette base de données n'a été signalée, il n'en demeure pas moins que le caractère hautement confidentiel des coordonnées bancaires des clients s'oppose à une conservation dans des conditions aussi rudimentaires.
Par ailleurs, et de manière intéressante, la CNIL a recommandé que le cryptogramme visuel ne soit pas conservé de manière indéfinie par les cybermarchands, ceci à des fins de sécurité renforcée. Ceci signifie que, si les internautes peuvent accepter que, pour faciliter les transactions électroniques, le numéro et la date de validité de leur carte bancaire soient conservés, ils devront néanmoins, pour chaque achat, rappeler les trois chiffres figurant au dos de la carte. Ceci permet d'éviter un nombre important de fraudes à la carte bancaire.
En l'espèce, FNAC DIRECT a assuré que les manquements qui lui étaient reprochés par la CNIL cesseraient rapidement grâce à la mise en place d'une nouvelle solution de paiement externalisée sur son site internet. L'avertissement de la Commission a donc essentiellement valeur pédagogique.

Si la déclaration des traitements de données à caractère personnel des clients et prospects est facilité grâce à la norme simplifiée n° 48 (qui a d'ailleurs été modifiée récemment : http://www.journaldunet.com/ebusiness/expert/52092/gestion-des-fichiers-clients-et-prospects--jusqu-au-12-juillet-2013-pour-se-mettre-aux-normes-de-la-cnil.shtml), il n'en demeure pas moins que les cybermarchands doivent veiller scrupuleusement au respect de la loi Informatique & Libertés. Déclarer un fichier, c'est bien, mais ce n'est pas suffisant ! Il faut veiller régulièrement à assurer la sécurité et la confidentialité des données, qui ne peuvent être conservées indéfiniment.