C'est l'un des premiers sites marchands français. Le site de la Fnac a reçu vendredi un avertissement de la Commission nationale de l'informatique et des libertés (Cnil), qui pointe des "manquements dans la conservation des données bancaires" de ses clients. C'est à la société Fnac Direct, la filiale de la Fnac spécialisée dans le commerce électronique, que l'avertissement a été adressé.
Des "règles strictes" encadrent la conservation des données bancaires sur Internet, note la Cnil, rappelant que la conservation de ces données "ne peut se faire qu'avec le consentement préalable des clients pour une durée limitée et doit présenter un haut niveau de sécurité".
Pas d'archivage de la base
Or, des "manquements" ont été constatés lors de contrôle menés en février chez Fnac Direct. Dans une même base, "en clair", la société exploitant le site Fnac.com conservait "le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte, parfois le cryptogramme visuel et, dans un format insuffisamment sécurisé, le numéro de la carte".
Et cette base n'avait pas "fait l'objet de purge ou d'archivage" et comprenait "les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré".
Aucun préjudice pour les clients
La Cnil reconnaît toutefois que ces conditions de sécurité "n'ont pas porté préjudice aux clients".
La Fnac a réagi à cet avertissement dont elle "prend acte" et assure souhaiter "chaque jour améliorer la sécurité de ses systèmes afin de préserver la confidentialité des informations relatives à ses clients". Le groupe souligne le fait que la Cnil a elle-même constaté qu'aucun préjudice n'avait été subi par les clients et ajoute : "aucun acte malveillant, de quelque nature qu'il soit, n'a été commis depuis l'ouverture du site".