Un site de vente de chaussures sanctionné par la CNIL
20/08/2020La CNIL a rendu publique, début août, ses délibérations par rapport à l’entreprise Spartoo datant de fin juillet. Spartoo, célèbre expert de la vente de chaussures sur la toile a reçu une amende salée : 250 000 euros par rapport à des fautes et des oublis au RGPD (il s’agit du Règlement général sur la protection des données).
Les CNIL européennes se sont unies
Il y a deux ans, courant mai, la célèbre CNIL a effectué un contrôle dans les infrastructures de l’entreprise de vente de chaussures en ligne. Le but ? S’assurer de la conformité de la société par rapport au RGPD et vérifier le traitement des informations personnelles. Or, la CNIL s’est aperçu de plusieurs manquements par rapport aux renseignements sensibles des clients, salariés ou encore prospects du groupe. Ainsi, la présidente de la Commission nationale de l’informatique et des libertés a ouvert une procédure de sanction l’an dernier contre Spartoo.
Ce qui a fait que la procédure est devenue unique est que la clientèle (mais aussi les prospects) du groupe provenaient d’une multitude de pays en Europe. En effet, l’entreprise française exerce dans 13 pays du continent. La CNIL a par conséquent collaboré avec les autres CNIL afin d’échanger par rapport à la future sanction.
Un enregistrement des échanges inadapté et une sauvegarde des informations bancaires peu sûre
Les manquements mis en avant par la Commission nationale de l’informatique et des libertés ont été nombreux. Tout d’abord, il y eut celui par rapport au principe de minimisation des informations. La CNIL affirme que la sauvegarde continue des appels passés par téléphone au support client se révèle être trop excessif. Même chose par rapport à la sauvegarde des renseignements bancaires des clients, ce genre de données étant utilisées afin de permettre de former les salariés.
En Italie, l’entreprise de vente de chaussures sur le web va encore plus loin en demandant la carte de santé des clients. Or, cela s’avère être totalement disproportionné vu que cette carte possède une multitude d’informations personnelles, encore plus que la carte identité (qui d’ailleurs est également demandée par le groupe).
La Commission nationale de l’informatique et des libertés a également mis en avant un manquement par rapport à l’obligation de limitation du délai de sauvegarde des informations. Spartoo devait garder les renseignements de ses clients au maximum cinq années. Or, l’entreprise a gardé des données de trois millions de clients (et plus de 25 millions de prospects tout de même) pendant plus de cinq ans. En plus, les mails ainsi que les mots de passe étaient gardées de manière non anonyme, ce qui est une nouvelle fois un grave manquement au RGPD.
D’autres oublis constatés
Le gendarme des données personnelles n’a pas souligné que ces manquements. Il a également décelé un non-respect de l’obligation d’information des individus par rapport à la politique de confidentialité des informations personnelles de plateforme internet web. Même chose pour l’obligation de garantir la sécurité des renseignements personnels, la société n’ayant pas demandé des mots de passe assez robustes à ses clients. Autre point négatif : le groupe gardait en clair durant six mois les numérations des cartes bancaires, dont les clients s’étaient servis pour les achats.
Au final, Spartoo a reçu une amende salée mais justifiée de 250 000 euros. Au vu de la lourdeur des manquements, la société a jusqu’à fin octobre afin de respecter le RGPD. Dans le cas contraire, elle devra régler une astreinte de 250 euros pour chaque journée de retard … Plutôt léger !
