Manquements au RGPD
La CNIL frappe un grand coup contre Spartoo. La plateforme de vente en ligne de chaussures a été condamnée pour manquements au règlement européen sur la protection des données (RGPD). L'entreprise va verser 250.000 euros d'amende et elle devra se mettre en conformité avec les lois européennes en matière de protection des données sous trois mois à compter de la notification de la délibération. Ensuite, chaque jour de retard sera sanctionné de 250 euros.
Après un contrôle en mai 2018, Spartoo était sous la loupe de la commission nationale informatique qui, l'année suivante, a engagé une procédure de sanction en lien avec plusieurs autres autorités européennes. La boutique vend en effet dans treize pays de l'UE, et les manquements au RGPD concernent l'ensemble de l'Union. Parmi les points litigieux relevés par la procédure : l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client jugé excessif par la CNIL, la conservation des coordonnées bancaires qui n'est pas nécessaire, et pour ce qui concerne l'Italie, la copie de la carte de santé des clients.
Après un contrôle en mai 2018, Spartoo était sous la loupe de la commission nationale informatique qui, l'année suivante, a engagé une procédure de sanction en lien avec plusieurs autres autorités européennes. La boutique vend en effet dans treize pays de l'UE, et les manquements au RGPD concernent l'ensemble de l'Union. Parmi les points litigieux relevés par la procédure : l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client jugé excessif par la CNIL, la conservation des coordonnées bancaires qui n'est pas nécessaire, et pour ce qui concerne l'Italie, la copie de la carte de santé des clients.
Conservation des données
À ces manquements au principe de minimisation des données du RGPD s'ajoutent ceux liés à l'obligation de limitation de la durée des conservations des données : « aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas », explique la Cnil. La conformité des informations fournies dans la politique de confidentialité des données n'était pas au rendez-vous.
Autre problème, Spartoo n'imposait pas aux utilisateurs l'utilisation de mots de passe plus robustes. Enfin, la sécurité des données bancaires des clients, conservées pendant six mois, n'était pas assurée : les cartes bancaires étaient numérisées « en clair », c'est-à-dire sans protection. De sérieux manquements donc, pour lesquels l'entreprise va payer cher.
Autre problème, Spartoo n'imposait pas aux utilisateurs l'utilisation de mots de passe plus robustes. Enfin, la sécurité des données bancaires des clients, conservées pendant six mois, n'était pas assurée : les cartes bancaires étaient numérisées « en clair », c'est-à-dire sans protection. De sérieux manquements donc, pour lesquels l'entreprise va payer cher.