C'est la première fois que l'autorité française adopte une décision de sanction après avoir coopéré avec plusieurs de ses homologues de l'Union européenne.
La Commission nationale de l'informatique et des libertés (CNIL) a publié, mercredi 5 août, sa délibération concernant la société Spartoo en date du 28 juillet 2020, à l'issue de laquelle le spécialiste de la vente de chaussures en ligne a été condamné à 250 000 euros d'amende pour des manquements constatés au Règlement général sur la protection des données (RGPD).
Les CNIL européennes ont collaboré pour sanctionner Spartoo
En mai 2018, la CNIL avait procédé à un banal contrôle dans les locaux de Spartoo pour vérifier la conformité de l'entreprise aux dispositions du RGPD et veiller au bon traitement des données personnelles de ses clients notamment. Des manquements furent alors constatés concernant les données des clients, salariés et prospects du e-commerçant. Cela avait alors conduit la présidente de la CNIL a engager une procédure de sanction contre la firme, en 2019.
Ce qui a donné un ton particulier à cette procédure, c'est le fait que les clients et prospects de Spartoo étaient issus de plusieurs pays européens, la société française étant présente dans treize pays du Vieux Continent. L'autorité administrative indépendante française a ainsi coopéré avec les CNIL étrangères pour discuter de la sanction.
Un enregistrement des conversations excessif et une conservation des données bancaires peu sécurisée
Plusieurs manquements ont été soulevés par la CNIL, à commencer par celui relatif au principe de minimisation des données. La Commission estime que l'enregistrement permanent des appels téléphoniques reçus par les salariés du service client est excessif, comme celui de la conservation des données bancaires de clients, même dans le cas où ces fichiers sont utilisés pour aider à la formation des salariés. En Italie, Spartoo réclame même la copie de la carte de santé des clients, ce qui est disproportionné dans le sens où elle contient davantage d'informations personnelles que la carte identité, pourtant déjà demandée.
La CNIL a aussi relevé un manquement à l'obligation de limitation de la durée de conservation des données. Alors qu'elle est censée ne conserver les données de ses clients que durant 5 ans maximum, Spartoo avait conservé celles de 3 millions de clients (et 25 millions de prospects) qui ne s'étaient plus connectés depuis plus de 5 ans. De plus, les adresses électroniques et les mots de passe étaient conservées de façon non anonymisée, ce qui est aussi contraire au RGPD.
L'autorité a relevé d'autres manquements, comme le non-respect de l'obligation d'information des personnes sur la politique de confidentialité des données du site web et le manquement à l'obligation d'assurer la sécurité des données, Spartoo n'ayant pas imposé des mots de passe suffisamment solides à ses clients. De plus, la société conservait en clair les numérations des cartes bancaires utilisées pour les commandes pendant six mois.
Spartoo a ainsi été condamnée à une amende de 250 000 euros. Compte tenu de la gravité des manquements, l'entreprise a jusqu'à la fin du mois d'octobre pour se conformer au RGPD. À défaut, elle s'expose à une astreinte relativement dérisoire de 250 euros par jour de retard.
Source : CNIL