Le 28 juillet dernier, la CNIL a condamné la société SPARTOO à une amende de 250.000 euros pour plusieurs manquements au RGPD.
La société SPARTOO est une entreprise spécialisée dans le secteur de la vente de chaussures, qui édite seize sites web à destination de treize pays de l’Union européenne pour les besoins de son activité.
Le 31 mai 2018, soit quelques jours après l’entrée en application du RGPD, la CNIL a procédé à un contrôle sur place, dans les locaux de la société SPARTOO, afin de vérifier le respect, par cette dernière, de l’ensemble des dispositions du RGPD et de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et Libertés »). Etaient particulièrement visés les traitements de données à caractère personnel des clients et prospects, ainsi que les enregistrements des conversations téléphoniques intervenues entre les clients et le service client de la société SPARTOO.
A noter que, pour la première fois, la CNIL agissait en tant « qu’autorité chef de file », pour les traitements transfrontaliers opérés par la société SPARTOO.
Dans sa délibération du 28 juillet dernier, la CNIL a reproché à la société SPARTOO de multiples manquements au RGPD.
Tout d’abord, la CNIL a considéré que la société SPARTOO avait manqué au principe de minimisation des données, consacré à l’article 5-1 c) du RGPD. Ce manquement était constitué par :
- l’enregistrement intégral et permanent des appels téléphoniques reçus par le service client, considéré excessif au regard de la finalité du traitement (à savoir la formation des salariés) ;
- l’absence de mesures permettant d’éviter l’enregistrement des coordonnées bancaires des clients lors des appels téléphoniques, dans la mesure où la finalité du traitement était l’évaluation des salariés et que la CNIL a considéré que ces données ne pouvaient servir qu’au paiement et, ainsi, ne devaient pas être enregistrées une fois le paiement validé ; et
- une collecte de données jugée excessive dans le cadre du traitement ayant pour finalité la lutte contre la fraude : cette collecte aurait pu, selon elle, concerner uniquement la carte d’identité, mais ne se cantonnait pas à ce seul document.
Aussi, la CNIL a estimé que la société SPARTOO avait manqué à son obligation de limitation de la durée de conservation des données, prévue à l’article 5-1 e) du RGPD, du fait de :
- la mise en place d’une durée de conservation de 5 ans à compter de la dernière activité pour les données des prospects, considérée comme excessive par la CNIL, compte tenu du fait que SPARTOO s’abstenait de contacter les prospects après une période d’inactivité de 2 ans ;
- la détermination du point de départ du délai de conservation des données des prospects à l’ouverture d’un courriel de prospection, ce qui ne constitue pas un point de départ valable pour la CNIL ;
- l’absence de suppression des données des clients à l’issue de la durée de conservation, les données étant seulement pseudonymisées pour permettre aux clients de se reconnecter à leur compte.
De plus, la CNIL a considéré que la société SPARTOO avait manqué à son obligation d’information des personnes concernées consacrée à l’article 13 du RGPD puisque :
- s’agissant des clients, la société SPARTOO s’était contentée d’inscrire dans la politique de confidentialité que le consentement était la base légale de l’intégralité des traitements opérés, alors que cette base légale n’était pas la plus adaptée au regard des exigences du RGPD et qu’il convenait d’indiquer la base légale relative à chaque traitement ;
- s’agissant des salariés, la CNIL a estimé que les nouveaux salariés n’étaient ni informés de l’enregistrement de leurs conversations téléphoniques, ni de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits à cet égard.
Enfin, la CNIL a estimé que la société SPARTOO n’avait pas respecté son obligation d’assurer la sécurité des données, prévue à l’article 32-2 du RGPD, du fait :
- de la mise en place de mots de passe insuffisamment robustes puisque composés de huit caractères, sans critère de complexité ;
- de la communication par courriel (canal non chiffré) de scans de la carte bancaire des personnes suspectées de fraude.
A la lumière de ces manquements et du nombre de personnes concernées (la CNIL a relevé plus de 3 millions d’anciens clients et plus de 25 millions de prospects concernés par une durée de conservation excessive de leurs données), la société SPARTOO a été condamnée au paiement d’une amende de 250.000 euros, complétée d’une injonction de se conformer à ses obligations au titre du RGPD dans un délai de trois mois à compter de la présente délibération, sous astreinte de 250 euros par jour de retard à l’issue de ce délai.
Lien vers la décision : Ici
