Flash info : Sanction de la CNIL à l'encontre de CDiscount : Quelles leçons pour les sociétés du E-commerce ?

25 octobre 2016
twitterlinkedinmailtwitterlinkedinmail

Par une décision du 20 septembre 2016, la CNIL a prononcé un avertissement public à l’encontre de la société CDiscount, puis, par une décision du 26 septembre 2016, a mis en demeure la société de corriger de nombreux manquements à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés ».

Ces défauts de conformité ont été constatés lors de contrôles en ligne et sur place réalisés par les agents de la CNIL, à la suite d’au moins neuf plaintes de consommateurs.

Nous avons lu et analysé la décision de mise en demeure ainsi que la délibération prononçant l’avertissement public.

Voici quelques leçons qui nous semblent pouvoir être tirées de ces décisions.

  1. Non, il n’est pas possible de qualifier le client de « super chiant » dans une zone de commentaire libre.

La CNIL a constaté l’existence de nombreux commentaires non pertinents dans la table client de la base de production de la société CDsicount, tels que : « Clt super chiant », « client raciste », « le client m’indique que sa femme souffre d’une sclérose en plaque », etc.

Naturellement, de telles observations sont contraires au principe selon lequel les données collectées doivent être adéquates, pertinentes et non excessives (article 6, 3° de la loi informatique et libertés).

On ne le répétera jamais assez, il faut prêter une attention toute particulière aux zones de commentaires libres. Celles-ci ne doivent pas constituer un exutoire pour  des salariés excédés par les comportements des clients ou peu respectueux des confidences qu’ils reçoivent de ces derniers.

Une sensibilisation régulière des salariés sur le contenu des zones de commentaires libres est essentielle.

  1. Non, les données bancaires ne peuvent être conservées sans l’accord du client.

La CNIL a constaté que la société conservait par défaut les coordonnées bancaires de ses clients afin de leur éviter de les ressaisir lors d’un achat ultérieur dans le cadre d’une fonctionnalité intitulée « paiement flash ».

La loi informatique et libertés dispense le responsable de traitement de recueillir le consentement de la personne concernée si le traitement s’inscrit dans le cadre de l’exécution d’un contrat. En l’occurrence, la CNIL a considéré que la réalisation d’une transaction commerciale en ligne constituait un service commercial indépendant de l’acte initial de vente ayant conduit à la collecte des données dans le cadre du paiement.

Le consommateur doit donc consentir expressément à la conservation de ses données bancaires en vue d’un éventuel paiement ultérieur.

La distinction entre l’acte de paiement initial et la conservation des données bancaires en vue d’un paiement ultérieur est assez fine et il y a fort à parier que de nombreux commerçants en ligne ne sont pas en conformité sur ce point.

Veuillez télécharger le PDF pour lire la suite de l’article:

Article rédigé par : Géraldine Péronne