La Cnil a reçu de nombreuses plaintes concernant CDISCOUNT, société de vente de produits aux particuliers sur Internet pour défaillances techniques ayant entrainé la divulgation de données à des tiers sans autorisation. Elle a ainsi procédé auprès de celle-ci à plusieurs contrôles, dans le but de vérifier la conformité aux dispositions de la loi Informatique et Libertés des traitements relatifs aux données des clients et des prospects.
De multiples manquements ont été constatés, entrainant des contrôles au sein de la société. Ceux-ci ont permis de constater que plusieurs millions de comptes danciens clients et prospects avaient été conservés dans une base de données sans suppression ni limitation de durée, en particulier des données bancaires et que la société navait pas mis en uvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles de ses clients.
La Présidente de la Cnil a ainsi engagé une procédure de sanction avec désignation d’un rapporteur. En charge de statuer sur ces manquements, la formation restreinte de la Cnil a décidé de prononcer, par une délibération du 20 septembre 2016, un avertissement public à lencontre de la société CDISCOUNT .
Les contrôles effectués ont également permis de révéler dautres manquements à la loi Informatique et Libertés tels que la mise en uvre dun traitement de lutte contre la fraude à la carte bancaire sans autorisation de la Cnil, lenregistrement des coordonnées bancaires de clients lors dappels reçus par la société ou encore labsence dinformation des utilisateurs du site quant au traitement de leurs données.
La Présidente a alors estimé que des mesures correctives devraient être engagées par la société et lui a ainsi adressé, par décision du 26 septembre 2016, une mise en demeure de se conformer à la loi, dans un délai de trois mois, renouvelable une fois. Si la société se conforme à la loi dans le délai imparti, la clôture de la procédure fera également l’objet d’une publicité.