RGPD : la CNIL sanctionne le site de chaussures en ligne Spartoo au terme d'une procédure inédite

10 août 2020 à 10h22
5
Spartoo © Alexandre Boero pour Clubic
Capture d'écran Spartoo.com (© Alexandre Boero pour Clubic)

C'est la première fois que l'autorité française adopte une décision de sanction après avoir coopéré avec plusieurs de ses homologues de l'Union européenne.

La Commission nationale de l'informatique et des libertés (CNIL) a publié, mercredi 5 août, sa délibération concernant la société Spartoo en date du 28 juillet 2020, à l'issue de laquelle le spécialiste de la vente de chaussures en ligne a été condamné à 250 000 euros d'amende pour des manquements constatés au Règlement général sur la protection des données (RGPD).

Les CNIL européennes ont collaboré pour sanctionner Spartoo

En mai 2018, la CNIL avait procédé à un banal contrôle dans les locaux de Spartoo pour vérifier la conformité de l'entreprise aux dispositions du RGPD et veiller au bon traitement des données personnelles de ses clients notamment. Des manquements furent alors constatés concernant les données des clients, salariés et prospects du e-commerçant. Cela avait alors conduit la présidente de la CNIL a engager une procédure de sanction contre la firme, en 2019.

Ce qui a donné un ton particulier à cette procédure, c'est le fait que les clients et prospects de Spartoo étaient issus de plusieurs pays européens, la société française étant présente dans treize pays du Vieux Continent. L'autorité administrative indépendante française a ainsi coopéré avec les CNIL étrangères pour discuter de la sanction.

Un enregistrement des conversations excessif et une conservation des données bancaires peu sécurisée

Plusieurs manquements ont été soulevés par la CNIL, à commencer par celui relatif au principe de minimisation des données. La Commission estime que l'enregistrement permanent des appels téléphoniques reçus par les salariés du service client est excessif, comme celui de la conservation des données bancaires de clients, même dans le cas où ces fichiers sont utilisés pour aider à la formation des salariés. En Italie, Spartoo réclame même la copie de la carte de santé des clients, ce qui est disproportionné dans le sens où elle contient davantage d'informations personnelles que la carte identité, pourtant déjà demandée.

La CNIL a aussi relevé un manquement à l'obligation de limitation de la durée de conservation des données. Alors qu'elle est censée ne conserver les données de ses clients que durant 5 ans maximum, Spartoo avait conservé celles de 3 millions de clients (et 25 millions de prospects) qui ne s'étaient plus connectés depuis plus de 5 ans. De plus, les adresses électroniques et les mots de passe étaient conservées de façon non anonymisée, ce qui est aussi contraire au RGPD.

L'autorité a relevé d'autres manquements, comme le non-respect de l'obligation d'information des personnes sur la politique de confidentialité des données du site web et le manquement à l'obligation d'assurer la sécurité des données, Spartoo n'ayant pas imposé des mots de passe suffisamment solides à ses clients. De plus, la société conservait en clair les numérations des cartes bancaires utilisées pour les commandes pendant six mois.

Spartoo a ainsi été condamnée à une amende de 250 000 euros. Compte tenu de la gravité des manquements, l'entreprise a jusqu'à la fin du mois d'octobre pour se conformer au RGPD. À défaut, elle s'expose à une astreinte relativement dérisoire de 250 euros par jour de retard.

Source : CNIL

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
7
Blues_Blanche
En voyant le titre je me demandais si c’était pas exagéré 250k€ d’amande, mais en voyant les manquements c’est amplement justifié.
nicgrover
Et c’est Spartoo qui fait de l’huile…
ZeBigBoss
Vu le prix du projet informatique de modification (correction devrais-je dire) de leur système, il peuvent tout simplement payer les 250€ par jour pendant des années et continuer à engranger des données.
GeorgesC
Mérité. dommage que la CNIL ne semble pas sanctionner plus souvent, certaines grosses société en auraient grandement besoin. on ne s’improvise pas informaticien et expert en sécurité, que certains dinosaures en prennent de la graine.
tabtab
Les sanctions ne sont pas un pourcentage du CA de l’entreprise ? Si oui, 250.000€ ne me semblent pas cher payé au final…
Voir tous les messages sur le forum

Actualités du moment

La montre connectée Honor MagicWatch 2 en promo chez Cdiscount
Nouvelle chute de prix du Huawei P30 lite pour les Soldes
Solde Fnac : un clavier Gaming Razer Ornata Chroma à moins 30%
Soldes : la carte microSDXC SanDisk Extreme PRO 400 Go sous les 100€ chez Amazon
Kia met à jour le Stonic avec deux motorisations hybrides
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Les meilleures séries d'anthologie
Les meilleurs series animes
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Soldes d'été : l'enceinte Bluetooth Ultimate Ears Boom 2 Lite pour seulement 59€
Haut de page