Spartoo visée par une sanction de 250 000 euros pour manquements au RGPD
La Cnil a infligé une sanction de 250 000 euros à l’encontre de la société Spartoo, accusée de conserver trop longtemps les informations personnelles de ses clients et de ne pas assurer la sécurisation de leurs données bancaires.
Puisque son activité couvre 13 pays de l’Union européenne, c’est donc la « logique du guichet unique posée par le RGPD » qui s’applique, explique un porte-parole de la Cnil à ZDNet. La présente décision a donc été prise en coopération avec d’autres autorités de contrôle européenne. « Les clients et prospects de la société concernés étant situés dans plusieurs pays européens, la Cnil a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction » a justifié l’autorité dans un communiqué.
La Commission de régulation française agit alors en tant qu’autorité de contrôle « chef de file » concernant le traitement transfrontalier effectué par la société. Par conséquent, « les autorités de contrôle concernées ne pourront pas prononcer d’autres sanctions à l’encontre de la société Spartoo pour les mêmes faits. La Cnil, en tant qu’autorité chef de file a coopéré avec les autorités de contrôles concernés, dans le respect des points de vue de chacune d’entre elles, ce qui garantit que le cas a été examiné et résolu à la satisfaction de chaque autorité. L’autorité chef de file, ici la Cnil, agit au nom des autorités des autres pays et assure le respect des droits des personnes concernées à l’échelle européenne », nous précise-t-on.
A la suite de la décision, Spartoo a fait savoir qu’elle s’engageait à réaliser « au plus tôt » les modifications demandées. « Soyez en sûrs Spartoo depuis toujours est très engagé dans le respect des réglementations quant aux données personnelles de ses clients » a écrit la société sur Twitter.
Plusieurs manquements constatés
Plusieurs manquements au RGPD lui sont reprochés, à commencer par le non-respect du principe de minimisation des données. La Cnil a estimé que l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Selon la Commission, « le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salariés. » Elle ajoute que « l’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés ».
Spartoo soutient que les enregistrements téléphoniques ne sont ni permanents ni systématiques dans la mesure où les clients ont la possibilité de s’opposer à l’enregistrement de l’appel. La société considère que l’effacement des données bancaires enregistrées lors des conversations téléphoniques permet « d’assurer une conservation des données conforme au principe de minimisation », peut-on lire dans la délibération du 28 juillet.
La Cnil soulève par ailleurs un manquement à l’obligation de limitation de la durée de conservation des données. « Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas » constate-t-elle.
Le régulateur considère aussi que la société a manqué à son obligation d’assurer la sécurité des données, expliquant que celle-ci aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes pour accéder aux comptes via le site web. « Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients. »
