Spartoo, ce site de vente en ligne ne respectait pas les normes RGPD, relatives à la protection des données personnelles.
Première sanction d’envergure en France depuis que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. La Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé avoir délivré une amende de 250 000 euros au site de vente en ligne de chaussures, Spartoo.
C’est après une enquête que la CNIL a commencé en 2018 et une concertation avec les autres autorités européennes, que la décision fut prise.
La CNIL « a constaté des manquements concernant les données des clients, des prospects et des salariés ». En fait, c’est l’enregistrement des données des cartes bancaires des clients qui a donné à la Commission française l’obligation de gérer l’affaire avec les autres pays européens.
Protection et conservation des données
Une partie des faits reprochés à Spartoo concernent la conservation de différentes données personnelles sur des périodes dépassant les six mois, autorisées par le règlement européen. Spartoo stockait notamment les coordonnées des cartes bancaires en clair « communiquées lorsque les commandes sont passées par téléphone », ce qui ne garantie pas la sécurité des données bancaires des clients.
Sur les méthodes de travail des employés, il est jugé excessif, un enregistrement, intégral et permanent des appels téléphoniques du service client. Lors de son enquête, la CNIL s’est rendue compte que l’intégralité des appels était enregistrée et stockée. Une conduite jugée inutile « car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié ».
La CNIL a mis le doigt sur un point dont l’enjeu est aussi important : l’absence d’imposition de mots de passe « plus robustes » lors de la création des profils d’utilisateurs, ce qui a contribué aussi à la sanction.
Elle met également en cause la durée de conservation des informations personnelles des clients de Spartoo. « Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas », détaille l’autorité de contrôle.
Une amende et une publication dans le journal officiel
“Nous prenons acte de la décision de la @CNIL. Nous nous engageons à réaliser les modifications demandées au plus tôt. Soyez en sûrs #Spartoo depuis toujours est très engagé dans le respect des réglementations quant aux données personnelles de ses clients #RGPD“, message Twitté par Spartoo le 5 août.
Il faut savoir qu’ils ont maintenant 3 mois pour se mettre en conformité. Une astreinte de 250 euros de pénalité par jour de retard sera infligée.
En plus de l’amende reçue, Spartoo est également impacté par la mauvaise couverture publique.
Ce n’est pas la première fois qu’une société française est dans le viseur de la commission. Il y a un mois, Doctissimo subissait les assauts de la CNIL, alors que plusieurs infractions avaient été constatées par l’ONG Privacy International. EDF avec son compteur Linky. Le Ministère de l’Intérieur aussi, avec une conservation trop longue des photos prises par les radars de vitesse. La société Teemo aussi. Et, avec une fin plus funeste, malgré une mise en conformité RGPD, Fidzup, qui des suites de la mauvaise publicité, avait du fermer boutique.
En revanche, avec Spartoo, la décision à l’échelle européenne est une première.
Une situation qui s’est présentée car les clients de Spartoo (et leurs données personnelles) dépassent le cadre français : si le site est basé à Grenoble, il propose un portail de vente « accessible dans 13 pays de l’Union européenne », note la CNIL.
Siège de la CNIL, 3 place de Fontenoy – TSA 80715 75334, Cedex 07 Paris
Comme l’expliquait la commission sur son site en octobre 2019, cette coopération européenne a permis à la CNIL de s’identifier comme « chef de file » puis « d’informer les autres autorités européennes concernées par le traitement transfrontalier de sa compétence, proposer les suites à apporter au dossier et coordonner la prise de décision en concertation avec les différents pays concernés ». Cela signifie, également, que Spartoo ne pourra pas être sanctionné pour les mêmes faits par les autres autorités de contrôle des pays européens concernés.
