RGPD : 250 000€ d’amende pour Spartoo

Spartoo est une entreprise de vente en ligne de chaussures.

Contrôlée en mai 2018, la CNIL a relevé plusieurs manquements concernant les données des clients, des prospects et des salariés.

Une procédure de sanction a alors été engagée en 2019.

NB : Les clients et prospects de la société étant situés dans plusieurs pays européens, la CNIL a coopéré avec les autres autorités européennes concernées tout au long de la procédure Cette décision de sanction est la première rendue par la CNIL en qualité de « chef de file ».

Quels sont les manquements relevés ?

1- Manquement au principe de minimisation des données

La CNIL a relevé un enregistrement intégral et permanent des appels téléphoniques reçus par le service client.

Elle considère cette mesure excessive et injustifiée au regard de la finalité poursuivie : la formation des salariés La CNIL adopte le même raisonnement concernant l’enregistrement et la conservation des coordonnées bancaires des clients.

2- Manquement à l’obligation de limiter la durée de conservation des données

Lors de son contrôle, la CNIL a constaté qu’aucune durée de conservation des données n’avait été mise en place par la société.

De plus, la conservation des adresses électroniques des clients et des mots de passe sous une forme pseudonymisée et non anonymisée n’est pas conforme au RGPD.

Depuis le contrôle, la société a mis en place une durée de conservation de 5 ans pour les données clients et 2 ans pour les données prospects.

3- Manquement à l’obligation d’information des personnes concernées

Pour la CNIL, l’information fournie dans la politique de confidentialité des données du site web n’est pas conforme au RGPD.

En effet, la société indique que le consentement constitue la base légale de tous les traitements alors que plusieurs d’entres eux reposent sur d’autres bases légales comme le contrat ou les intérêts légitimes poursuivis par la société.

La CNIL relève également un défaut d’information des salariés concernant :

• la finalité poursuivie par le traitement,
• la base légale du dispositif,
• les destinataires des données,
• la durée de conservation des données,
• leurs droits.

4- Manquement à l’obligation d’assurer la sécurité des données

La CNIL considère que la société aurait dû imposer aux utilisateurs des mots de passe plus robustes.

En effet, la conservation en clair des numérisations de la carte bancaire ne permet pas de garantir la sécurité des données.

Quelle a été l’issue de la procédure ?

Compte tenu du nombre de manquement, la formation restreinte de la CNIL a prononcé une amende de 250 000€.

La CNIL a ainsi tenu compte :

• de la gravité des manquement (enregistrement des conversations téléphoniques et conservation des données bancaires)
• et du nombre de personnes concernées (plusieurs milliers de personnées).

Elle a également rappelé que plusieurs des manquements constatés portent sur des obligations qui existaient déjà avant l’entrée en vigueur du RGPD.

L’entreprise à 3 mois pour se conformer au RGPD à compter de la notification de la délibération sous astreinte de 250€ par jour de retard.