accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Première décision de la CNIL en tant « qu’autorité chef de file » : Spartoo sanctionnée à 250 000 € pour non-respect du RGPD

AAI
CNIL, communiqué, 5 août 2020
CNIL, délib. n° SAN-2020-003, 28 juill. 2020
[19.08.2020]

La CNIL a décidé de publier sa décision condamnant la société Spartoo, spécialisée dans le secteur de la vente en ligne de chaussures, à une amende de 250 000 €. Elle a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 € par jour de retard. Cette décision est une première pour la Cnil qui a joué le rôle de chef de file pour les autres autorités européennes : la société édite 16 sites web au sein de 13 Etats de l’Union européenne et les manquements reprochés pouvaient aussi concerner nombre d'entre eux, les clients et prospects de la société concernés étant situés dans plusieurs de ces pays européens.

La CNIL a contrôlé la société en mai 2018, et a constaté des manquements concernant les données des clients, des prospects et des salariés. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de la société en 2019.Sur la base des investigations menées en coopération avec les autres autorités de contrôle européennes, la CNIL a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD : 

  • Manquement au principe de minimisation des données (article 5-1 c) du RGPD).

L'autorité régulatrice estime que « l'enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client apparaît excessif au regard de la finalité d'évaluation de ceux-ci par la société ». Elle considère par ailleurs que « l'enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n'est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés ».

  • Manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

La société ne disposait pas de politique de durée de conservation des données clients et prospects. Suite au contrôle de la Cnil, la société a appliqué une durée de 5 ans pour les clients et les prospects. la Commission estime cependant ce délai trop long et lui demande de réduire à 2 ans cette rétention pour les prospects. Elle condamne également Spartoo pour « la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions ne s’étant pas connectés à leur compte depuis plus de 5 ans).

  • Manquement à l’obligation d’information des personnes (article 13 du RGPD)

L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme : la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

  • Manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.La Cnil ne retient pas la mesure de blocage mise en place par la société jugée insuffisante.

Dans le cadre de la lutte contre la fraude, Spartoo conservait les données des cartes bancaires utilisées par les clients pour leurs commandes, pendant une durée de 6 mois et en clair. La CNIL juge qu'au regard de la finalité poursuivie, cette durée est excessive et le risque trop important pour la sécurité des données bancaires des clients.