La Commission nationale de l’informatique et des libertés (CNIL) a sanctionné l’entreprise Spartoo d’une amende de 250 000 euros à cause de plusieurs manquements au Règlement général sur la protection des données (RGPD).
Fondée par Boris Saragaglia en 2006, la société Spartoo se spécialise dans la vente en ligne de chaussures, de vêtements et de maroquinerie. En 2016, Spartoo réalise un chiffre d’affaires de 150 millions d’euros. Sa boutique en ligne est un site internet accessible aujourd’hui depuis treize pays de l’Union européenne. En mai 2018, la CNIL contrôle la société et constate plusieurs manquements concernant les données des prospects, clients et salariés. En 2019, la CNIL engage donc une procédure de sanction à l’encontre de Spartoo. Les prospects et clients de Spartoo étant situés dans plusieurs pays européens, la CNIL a coopéré avec les autorités européennes concernées afin d’appliquer la sanction adéquate pour les manquements à plusieurs obligations encadrées par le RGPD.
Manquement au principe de minimisation des données
La CNIL reproche à l’entreprise française d’enregistrer trop de données non nécessaires, ce qui va à l’encontre du principe de minimisation, prévu à l’article 5-1 c du RGPD. Au moment du contrôle par la CNIL, Spartoo enregistre l’intégralité des appels téléphoniques des salariés du service client, alors même que le responsable de la formation n’écoute qu’un enregistrement par semaine et par salarié. La société conserve aussi, dans le cadre de ces enregistrements, les coordonnées bancaires de clients qui commandent des articles par téléphone, ce qui n’est pas pertinent car ces enregistrements servent simplement à la formation des salariés.
Manquement à la limitation de la durée de conservation des données
Lorsque la CNIL a procédé aux contrôles, la société n’avait mis en place aucune limite de durée de conservation des données, ni pour les prospects ni pour les clients. Les autorités compétentes ont retenu un manquement au RGPD dans la mesure où Spartoo a conservé les données de plus de trois millions d’anciens clients qui ne s’étaient pas connectés à leur compte depuis plus de cinq ans.
Spartoo a conservé les adresses email et les mots de passe de ses clients, sans les anonymiser, afin que ceux-ci puissent se reconnecter facilement à leur compte. Au-delà d’un délai de cinq ans, ce procédé n’est pas conforme à la limitation de la durée de conservation des données.
Manquement à l’obligation d’information des personnes
La politique de confidentialité du site internet de Spartoo n’est pas conforme à l’article 13 du RGPD sur l’obligation d’information. La société y indique que le consentement est la base légale de tous les traitements de données, alors qu’en pratique il s’appuie parfois sur le contrat ou même les intérêts de l’entreprise. Par ailleurs, les salariés ne sont pas suffisamment informés sur la finalité de l’enregistrement de leurs appels téléphoniques avec les clients, ni sur la durée de conservation des données, ni sur leurs droits à ce sujet.
Manquement à l’obligation d’assurer la sécurité des données
La CNIL reproche aussi à Spartoo de n’avoir pas imposé aux utilisateurs de son site web de protéger leurs comptes client par des mots de passe plus robustes.
Contrairement à l’article 32 du RGPD pour lutter contre la fraude, Spartoo conserve des numérisations des cartes bancaires utilisées lors d’une commande pendant six mois, et sans les crypter. Ce processus ne permet pas de garantir aux clients la sécurité de leurs données bancaires.
Une sanction publique
Compte tenu du nombre important de manquements, la CNIL a donc prononcé une amende de 250 000 euros et décidé de rendre la sanction publique.
Jeannie Mongouachon est à votre disposition pour vous assister dans toutes vos démarches de mise en conformité au RGPD.
Les membres de Quorum Avocats savent qu’il est essentiel pour les entreprises de pouvoir bénéficier d’un soutien juridique à tout moment. Nous mettons nos compétences et celles de nos partenaires à votre service pour vous accompagner et vous assister pour toute question de droit des affaires, droit immobilier, droit public ou droit civil, en conseil comme en contentieux. Nos formules s’adaptent à vos besoins pour développer avec vous une offre juridique basée sur la confiance.