La CNIL, en tant que « chef de file », a adopté sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO.

La société SPARTOO est spécialisée dans le secteur de la vente en ligne de chaussures. Pour cette activité, elle dispose d’un site web accessible dans treize pays de l’Union européenne.

La CNIL a contrôlé la société en mai 2018, et a constaté des manquements concernant les données des clients, des prospects et des salariés. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de la société en 2019.

Les clients et prospects de la société concernés étant situés dans plusieurs pays européens, la CNIL a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD :

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.

Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente.

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).

Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité (par exemple l’ouverture d’une newsletter). Or, la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.

La formation restreinte précise que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – ce qui permet de justifier la conservation de leurs données – dans la mesure où ce message peut être ouvert involontairement par celle-ci.

Après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.

Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Compte tenu du nombre de manquements, la formation restreinte a prononcé une amende de 250 000 euros et décidé de rendre publique sa sanction. Elle a notamment pris en considération la gravité des manquements, en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires. Elle a également tenu compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects). La formation restreinte a également rappelé que plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD.

La formation restreinte a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard.

 

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd