Sécurisation des données bancaires : la FNAC sanctionnée par la CNIL

Open Cata 38

La CNIL vient d’adresser un avertissement public à la société FNAC Direct, qui exploite le site Internet de la FNAC, après avoir constaté des lacunes dans la conservation et la sécurisation des données bancaires de ses clients. L’autorité administrative a effectivement observé lors d’un contrôle que les informations relatives à plusieurs millions de cartes bancaires avaient été stockées sans protection suffisante.

fnac

 

Fin février, les services de la CNIL procèdent à plusieurs contrôles portant notamment sur les bases de données relatives aux comptes clients et aux commandes passées sur le site Internet de la FNAC. De nombreux manquements à la loi Informatique et Liberté sont alors constatés comme le manquement à l'obligation de recueillir le consentement des personnes à la conservation de leurs informations bancaires. Mais la CNIL pointe aussi une violation de l’article 34 de la loi relatif à la sécurisation des données.

 

En elle note dans sa délibération en date du 19 juillet qu’il est alors « établi que dans la même base de données apparaît le nom du porteur de la carte, son numéro de carte bancaire, la date d’expiration de celle-ci, et parfois (lorsqu’il n’a pas été purgé) son cryptogramme visuel, l’ensemble de ces éléments étant conservé dans la même base, en clair, sans hachage ni chiffrage ». Autant dire que de telles informations, si elles étaient tombées entre de mauvaises mains, auraient rapidement pu conduire à de nombreux achats en ligne... D’autant plus que plusieurs millions de cartes bancaires, expirées ou encore en cours de validité, étaient alors concernées. 780 000 cryptogrammes étaient en outre conservés.

 

La CNIL explique ainsi que même si les conditions de sécurité retenues « n'ont pas porté préjudice aux clients, elles étaient insuffisantes au regard de la sensibilité des données ». C’est notamment sur la base de ce manquement à l'article 34 de la loi de 1978 que l’autorité administrative a décidé d’adresser un avertissement public à FNAC Direct. Depuis, la société a toutefois procédé à « la mise en place d'un système de traitement et de conservation des données caractérisé par un haut niveau de sécurité », afin de ne plus s’exposer à de nouvelles sanctions de la part de la CNIL.

 

Depuis le début de l'année, des défauts de sécurisation similaires ont conduit à la divulgation de milliers de mots de passe. Ce fut par exemple le cas de Yahoo!, qui s'est fait voler 450 000 mots de passe au début du mois. Nous avions ainsi eu l'occasion d'interviewer Gwendal Le Grand, chef du service de l’expertise informatique de la CNIL, qui nous avait confirmé que le stockage en clair de données personnelles était clairement « une pratique à proscrire ».(Voir notre article : Interview de la CNIL sur les défauts de sécurisation des données personnelles).

Par Xavier Berne Publiée le 27/07/2012 à 15:54
Publicité