Avertissement pour la société FNAC DIRECT en raison de manquements dans la conservation des données bancaires des clients du site www.fnac.com

Les données bancaires communiquées par des clients lors d'un achat sur Internet sont des données dont la nature justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées. La collecte et la conservation de telles données sont soumises au respect des prescriptions de la loi "informatique et libertés". Au-delà de la transaction, la conservation de ces données est ainsi subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée.

Afin de s'assurer du respect de ces exigences, la CNIL a mené, en février 2012, plusieurs contrôles dans les locaux de la société FNAC DIRECT, qui exploite le site fnac.com.

S'agissant des conditions de conservation des données, il est apparu que cette société conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte et, parfois, le cryptogramme visuel, et dans un format insuffisamment sécurisé, le numéro de la carte. Lors du contrôle, cette base comprenait les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré, sans qu’elle n’ait fait l’objet de purge ou d’archivage.

La formation restreinte a rappelé que les données ainsi collectées ne devaient être conservées que pendant une durée limitée, et dans des conditions de sécurité renforcées. Si, en l'espèce, les conditions de sécurité retenues n'ont pas porté préjudice aux clients, elles étaient insuffisantes au regard de la sensibilité des données. La société a cependant informé la CNIL de la mise en place d'un système de traitement et de conservation des données caractérisé par un haut niveau de sécurité.

En outre, s'agissant de la collecte de ces données, il est apparu que, lors de la transaction, la société conserve les données bancaires par défaut à des fins d'identification commerciale, c'est-à-dire pour éviter aux clients d'avoir à les ressaisir lors d'un achat futur. La formation restreinte a considéré, au regard de la sensibilité des données bancaires, que l'information délivrée au client sur la conservation de ces données, associée à une faculté d'effacement après la réalisation de chaque transaction, était insuffisante. Elle rappelle à cet égard que la conservation des données bancaires au-delà de la réalisation d'une transaction ne peut se faire, en principe, qu'avec le consentement préalable de la personne concernée.

Dans ces conditions, la formation restreinte de la CNIL, compétente pour exercer le pouvoir répressif confié par le législateur à la Commission, a décidé de prononcer un avertissement rendu public à l'encontre de la société FNAC DIRECT. Dans un contexte de développement du commerce en ligne, la CNIL est susceptible d'opérer d'autres contrôles dans ce secteur afin de s'assurer du respect des droits des consommateurs.