Auteur : Irène Kris, avocate à la Cour
Date : 15 octobre 2020
Bien connue, la société SPARTOO est spécialisée dans la vente en ligne de chaussures, produits proposés dans 13 pays de l’Union Européenne.
Dans le cadre de son activité, la société SPARTOO collecte des données à caractère personnel auprès des prospects et clients situés dans plusieurs pays Européens.
En 2018, après la mise en application du RGPD, la société SPARTOO a fait l’objet d’un contrôle de la CNIL. Collaborant avec ses homologues européens, celle-ci a sanctionné le 28 juillet 2020 (délibération San-2020-003) fortement la société SPARTOO pour les manquements suivants :
- Manquement au principe de minimisation (article 5-1 c du RGPD)
La société SPARTOO ne doit conserver que les données utiles à la finalité du traitement.
La CNIL estime donc que :
- conserver tous les enregistrements téléphoniques du service client à des fins de formation est manifestement excessif
- enregistrer et conserver les coordonnées bancaires des clients au cours des commandes par téléphone n’est pas nécessaire.
- la collecte de la carte de santé en Italie afin de lutter contre de la fraude n’est pas pertinente
- Manquement portant sur la durée de conservation des données (article 5-1 e du RGPD)
La CNIL constate, lors de son contrôle, que la société SPARTOO n’avait pas mis en place de politique de conservation de données.
Les données n’étaient pas archivées alors qu’elles concernaient plusieurs millions de clients qui ne s’étaient pas connectés depuis plus de 5 ans.
La Cnil estime également que
- la conservation des données prospects ne devrait pas dépasser deux ans (au lieu de 5 ans) compte tenu des pratiques prospectives de la société SPARTOO ;
- la pseudonymisation des adresses mails et mots de passe des clients passée le délai de 5 ans n’est pas conforme au RPGD.
- Manquement à l’obligation d’information (article 13 du RGPD)
La Cnil constate également que la base légale mentionnée dans la politique de confidentialité du site Internet est inexacte. Quant aux mentions d’information du salarié dans le cadre de l’enregistrement des conservations téléphoniques, elles sont incomplètes.
- Manquement à l’obligation de sécurité des données (article 32 du RGPD)
Elle estime pour finir que la politique des mots de passe des clients n’est pas suffisamment robuste et que la sécurité des données bancaires n’est pas suffisantes (la numérisation de la carte bancaire était conservée en clair pendant 6 mois après la commande).
Ces différents manquements ont donné à lieu à une sanction financière à hauteur de 250 000 euros. La société SPARTOO a été également été enjoint de mettre tous ces traitements en conformité dans un délai de trois mois à compter de la notification de ladite décision et ce sous astreinte de 250 euros par jour de retard.
Mots clefs : données, prospects, CNIL, RGPD, manquement, amende, sanction, défaut d’information