Avec plus de 7,7 millions de visiteurs uniques par mois au premier trimestre 2011, selon les données de la Fevad, le site de la Fnac est l'un des acteurs majeurs du commerce électronique en France. De ce fait, il n'est pas anormal d'attendre de la chaîne de magasins un haut niveau de sécurité pour assurer l'intégrité des paiements en ligne ainsi que la protection des informations personnelles.
Or, la Commission nationale de l'informatique et libertés a adressé un avertissement "en raison de manquements dans la conservation des données bancaires des clients", suite à plusieurs contrôles survenus en février dans les locaux de Fnac Direct, qui s'occupe du site web de la société. Et parmi les manquements relevés par l'autorité administrative indépendante se trouvent des conditions de sécurité insuffisantes.
La Fnac "conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte et, parfois, le cryptogramme visuel, et dans un format insuffisamment sécurisé, le numéro de la carte. […] Cette base comprenait les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré, sans qu’elle n’ait fait l’objet de purge ou d’archivage".
780 000 cryptogrammes enregistrés
Dans sa délibération (.pdf), la CNIL a pris soin de barbouiller les principales informations chiffrées. Mais il apparaît notamment en page huit que 780 000 cryptogrammes ont été enregistrés dans la base. Si "la conservation du cryptogramme visuel doit être considéré comme légitime dans le laps de temps" nécessaire à la transaction, ce stockage doit normalement être provisoire.
La CNIL souligne toutefois que les lacunes relevées lors du contrôle n'ont manifestement "pas porté préjudice aux clients". Aucun piratage de grande ampleur impliquant la Fnac ne s'est en tout cas produit. En réaction, la Fnac dit néanmoins avoir installé un "système de traitement et de conservation des données caractérisé par un haut niveau de sécurité".
Au-delà de la sécurisation des informations bancaires, la CNIL a mis en avant l'insuffisance de l'information délivrée au client en matière de conservation des données. L'autorité a rappelé "que la conservation des données bancaires au-delà de la réalisation d'une transaction ne peut se faire, en principe, qu'avec le consentement préalable de la personne concernée".
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
