La CNIL sanctionne l'entreprise Spartoo pour non-conformité au RGPD

Le chausseur en ligne Spartoo a été sanctionné par la Commission Nationale de l’Informatique et des Libertés. Cette entreprise sanctionnée est appelée à verser une amende de 250 000 euros et à se conformer au RGPD. En effet, l’entreprise Spartoo n’a pas eu à respecter un certain nombre de règlements européens de protection de données.

Des données excessivement enregistrées

Pour ce qui concerne l’enregistrement des conversations téléphoniques pour la formation des salariés, l’entreprise Spartoo a été sanctionnée au motif suivant : « L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié, car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié ».

La CNIL a aussi fait le constat de ce que, dans le cadre de l’enregistrement des conversations téléphoniques, le chausseur en ligne enregistre et conserve les données bancaires des clients. Ces données ne sont pas utiles avec l’enregistrement qui avait pour finalité la formation des salariés. Cela exposait le client à un risque en cas de fuite. C’était un manquement à l’obligation de minimisation des données.

En Italie, Spartoo collectait la copie de la carte de santé de ses clients avec pour finalité la lutte contre la fraude. C’est aussi l’une des raisons des sanctions, car cette entreprise a également manqué à son obligation de minimisation de données. 

Manquement à la conservation et à la sécurisation des données

Parmi les raisons qui ont fait que la CNIL a infligé une sanction à Spartoo, on note son manquement à l’obligation de limiter la durée de conservation des données. En effet, la CNIL a jugé d’excessive la durée de conservation des données des clients que Spartoo a fixée à 5 ans. Le constat fait par la CNIL est que l’entreprise manque d’adresser de prospection commerciale à ses clients lorsqu’après deux ans, elle constate que ces derniers ne manifestent pas d’intérêt à ses produits et services. Ces faits ont prouvé que les données ne devraient pas être conservées au-delà de 2 ans. De même, la durée de conservation ne se fixe pas arbitrairement.

Spartoo conservait les adresses électroniques et mots de passe de ses clients sous une forme pseudonymisée ce qui était censé être fait sous une forme anonymisée à l’expiration du dit-délai. Les mots de passe de 8 caractères qu’exige Spartoo sont jugés de faibles et constituent une insuffisante sécurité des données selon la CNIL. Cette entreprise conservait pendant plus de 6 mois les données des cartes bancaires que ses clients ont utilisées pour faire les commandes. Ce qui hausse le taux de risque en matière de fraude. Il y a également le fait qu’après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute les mesures de blocage de compte sont prises. 

Insuffisante information des personnes

L’entreprise Spartoo était censée bien informer ceux qui visitent son site. L’article 13 du RGPD souligne cela. À comparer le règlement de cette entreprise aux informations inscrites dans sa politique de confidentialité des données, il n’y a pas de conformité. Spartoo faisait comprendre à ses visiteurs qu’elle collectait leurs données uniquement sur la base de leur consentement ce qui n’est pas le cas. 

En plus de ceci, cette entreprise a aussi manqué à son obligation d’information précise de ses salariés. En effet, les nouveaux salariés n’étaient pas au courant du fait que leurs échanges téléphoniques étaient enregistrés. Les salariés de Spartoo n’étaient pas informés de la finalité poursuivie par le traitement, des destinations des données, de la base légale du dispositif, de leurs droits et de la durée de conservation des données. 

Suite à tous ces manquements, la CNIL n’a pas manqué d’infliger une amende à l’entreprise Spartoo. Celle-ci doit donc payer une amende qui s’élève à 250.000 euros. Elle a 3 mois pour se mettre en conformité au RGPD. Au cas où elle ne respecterait pas le délai de conformité, elle va payer 250 euros pour chaque nouvelle journée qui s’ajoute. 

À lire aussi