Accéder au contenu principal

Spartoo sanctionné par la Cnil

La Cnil sanctionne le site de vente en ligne de chaussures Spartoo d'une amende de 250.000 € en raison de manquements à plusieurs obligations du RGPD concernant les données des clients, des prospects et des salariés.Spécialisée dans le secteur de la vente en ligne de chaussures, la société Spartoo dispose pour ce faire d’un site internet accessible dans 13 pays de l’Union européenne.A la suite d'un contrôle effectué en mai 2018, la Commission nationale de l'informatique et des libertés (Cnil) a constaté des manquements concernant les données des clients, des prospects et des salariés.

La Cnil sanctionne le site de vente en ligne de chaussures Spartoo d’une amende de 250.000 € en raison de manquements à plusieurs obligations du RGPD concernant les données des clients, des prospects et des salariés.Spécialisée dans le secteur de la vente en ligne de chaussures, la société Spartoo dispose pour ce faire d’un site internet accessible dans 13 pays de l’Union européenne.A la suite d’un contrôle effectué en mai 2018, la Commission nationale de l’informatique et des libertés (Cnil) a constaté des manquements concernant les données des clients, des prospects et des salariés. Une procédure de sanction a été engagée en 2019.Sur la base des investigations menées en coopération avec les autres autorités européennes concernées, la formation restreinte de la Cnil a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (Règlement 2016/679 – RGPD).Manquement au principe de minimisation des données (article 5-1 c) du RGPD) : – enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client ; – enregistrement et conservation des coordonnées bancaires des clients lorsque les commandes sont passées par téléphone aux fins de formation des salariés ; – collecte, en Italie, de la copie de la « carte de santé » des clients.Manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD) : – conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans) ; – durée de conservation de 5 ans des données des prospects à compter de leur dernière activité, par exemple la simple ouverture d’une newsletter ; – conservation de l’adresse électronique et du mot de passe, sous une forme non anonymisée, au-delà du délai de 5 ans.Manquement à l’obligation d’information des personnes (article 13 du RGPD) : – non-conformité de l’information fournie dans la politique de confidentialité des données du site web ; – information insuffisante des salariés sur l’enregistrement des appels téléphoniques passés avec les clients.Manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD) : – manque de robustesse des mots de passe d’accès aux comptes clients ; – conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande.Compte tenu du nombre de manquements, la formation restreinte a prononcé, par une délibération du 28 juillet 2020, une amende de 250.000 € et décidé de rendre publique sa sanction. Elle a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois sous astreinte de 250 € par jour de retard.