Avertissement de la CNIL à la FNAC sur les conditions de stockage des informations bancaires de ses clients

La CNIL a sanctionné la FNAC par un avertissement le 19 juillet 2012.

Le contrôle de la CNIL portait en l’espèce sur le stockage des informations bancaires des internautes. Lors de son contrôle, la CNIL a constaté la conservation par la FNAC, dans un format « insuffisamment sécurisé » et en clair, des numéros, dates d’expiration et nom de plusieurs millions de porteurs de cartes bancaires en cours de validité ou expirées, et ce dans le but de faciliter le parcours client lors d’une prochaine commande (les données n’ayant pas à être ressaisies).

La CNIL a repoussé les arguments de la FNAC, qui invoquait au soutien de sa cause les articles 7-4 et 7-5 de la loi du 6 janvier 1978 dite « loi informatique et libertés », selon lesquels le consentement de l’intéresse n’a pas être recueilli lorsque le traitement  est lié à:

– « L’exécution d’un contrat auquel la personne concernée est partie « . Pour la CNIL, la conservation des données bancaires n’est pas uniquement nécessaire à l’exécution de la prestation de vente en ligne. La CNIL estime que la FNAC propose en réalité un second service, celui de portefeuille électronique;

– ou « La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. » La CNIL estime ici que les garanties offertes à l’internaute – consistant en une simple information des données conservées et une faculté d’effacement ex-post -ne sont pas suffisantes.

La FNAC a également été sanctionnée sur la conservation des données, en raison de l’absence de mesures mises en place pour définir une durée de conservation précise des données et mettre en oeuvre des mécanismes de purges de sa base.

Partager : Share on LinkedInShare on FacebookGoogle+Email to someoneTweet about this on Twitter
337 réponses

Les commentaires sont fermés.