RGPD : la CNIL sanctionne le site de chaussures en ligne Spartoo au terme d'une procédure inédite

06 août 2020 à 16h30
5
Spartoo © Alexandre Boero pour Clubic
Capture d'écran Spartoo.com (© Alexandre Boero pour Clubic)

C'est la première fois que l'autorité française adopte une décision de sanction après avoir coopéré avec plusieurs de ses homologues de l'Union européenne.

La Commission nationale de l'informatique et des libertés (CNIL) a publié, mercredi 5 août, sa délibération concernant la société Spartoo en date du 28 juillet 2020, à l'issue de laquelle le spécialiste de la vente de chaussures en ligne a été condamné à 250 000 euros d'amende pour des manquements constatés au Règlement général sur la protection des données (RGPD).

Les CNIL européennes ont collaboré pour sanctionner Spartoo

En mai 2018, la CNIL avait procédé à un banal contrôle dans les locaux de Spartoo pour vérifier la conformité de l'entreprise aux dispositions du RGPD et veiller au bon traitement des données personnelles de ses clients notamment. Des manquements furent alors constatés concernant les données des clients, salariés et prospects du e-commerçant. Cela avait alors conduit la présidente de la CNIL a engager une procédure de sanction contre la firme, en 2019.

Ce qui a donné un ton particulier à cette procédure, c'est le fait que les clients et prospects de Spartoo étaient issus de plusieurs pays européens, la société française étant présente dans treize pays du Vieux Continent. L'autorité administrative indépendante française a ainsi coopéré avec les CNIL étrangères pour discuter de la sanction.

Un enregistrement des conversations excessif et une conservation des données bancaires peu sécurisée

Plusieurs manquements ont été soulevés par la CNIL, à commencer par celui relatif au principe de minimisation des données. La Commission estime que l'enregistrement permanent des appels téléphoniques reçus par les salariés du service client est excessif, comme celui de la conservation des données bancaires de clients, même dans le cas où ces fichiers sont utilisés pour aider à la formation des salariés. En Italie, Spartoo réclame même la copie de la carte de santé des clients, ce qui est disproportionné dans le sens où elle contient davantage d'informations personnelles que la carte identité, pourtant déjà demandée.

La CNIL a aussi relevé un manquement à l'obligation de limitation de la durée de conservation des données. Alors qu'elle est censée ne conserver les données de ses clients que durant 5 ans maximum, Spartoo avait conservé celles de 3 millions de clients (et 25 millions de prospects) qui ne s'étaient plus connectés depuis plus de 5 ans. De plus, les adresses électroniques et les mots de passe étaient conservées de façon non anonymisée, ce qui est aussi contraire au RGPD.

L'autorité a relevé d'autres manquements, comme le non-respect de l'obligation d'information des personnes sur la politique de confidentialité des données du site web et le manquement à l'obligation d'assurer la sécurité des données, Spartoo n'ayant pas imposé des mots de passe suffisamment solides à ses clients. De plus, la société conservait en clair les numérations des cartes bancaires utilisées pour les commandes pendant six mois.

Spartoo a ainsi été condamnée à une amende de 250 000 euros. Compte tenu de la gravité des manquements, l'entreprise a jusqu'à la fin du mois d'octobre pour se conformer au RGPD. À défaut, elle s'expose à une astreinte relativement dérisoire de 250 euros par jour de retard.

Source : CNIL

Modifié le 10/08/2020 à 10h22
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
7
Voir tous les messages sur le forum

Lectures liées

PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Google enregistre des bénéfices impressionnants sur la recherche et sur YouTube
Pegasus : Macron demande des clarifications aux autorités israéliennes
Face au blocus des communications à Cuba, les USA envisagent de déployer Internet via des ballons
Cyberattaque : la France est dans le viseur de hackers chinois
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Intel serait en pourparlers pour racheter GlobalFoundries, deuxième plus gros fondeur au monde
Xbox : une mise à jour de l'application familiale pour mieux contrôler les dépenses des enfants
PrintNightmare : le patch ne suffit pas, il faut éditer la base de registre...
La Commission européenne repousse son projet de taxe numérique à octobre
Haut de page