Les sanctions concernant les manquements au RGPD ne prennent pas de pause estivale. La CNIL vient ainsi de publier sa décision concernant la société Spartoo, site de vente de chaussures. Ce dernier a été condamné à une amende de 250 000 euros. Plusieurs griefs sont reprochés au e-commerçant après une enquête de la Cnil.

En premier lieu, la commission reproche à Spartoo « l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client apparaît excessif au regard de la finalité d’évaluation de ceux-ci par la société ». La société est invitée à limiter ces enregistrements et donc de se conformer à l’article 5-1-c du RGPD. De même, la Cnil considère que « l’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés ».

L’absence d’une durée de conservation des données et sécurité des données faibles

Les manquements concernent par ailleurs la durée de conservation des données. Spartoo ne disposait pas de politique de durée de conservation des données clients et prospects. Suite au contrôle de la Cnil, la société a appliqué une durée de 5 ans pour les clients et les prospects. Trop long pour la Commission qui demande à réduire à 2 ans cette rétention pour les prospects. Du côté des clients, elle condamne Spartoo pour « la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions ne s’étant pas connectés à leur compte depuis plus de 5 ans) ».

Autre tacle, la sécurité des données et en particulier, les mots de passe jugés faibles. Les clients doivent donner un mot de passe composé de six caractères comportant une seule catégorie de caractères. Pas assez robuste si on se réfère aux préconisations de l’ANSSI. La Cnil ne retient pas les efforts de Spartoo qui a mis en place une mesure de blocage d’une minute du compte après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute.

La Cnil, chef de file des autorités européennes

La décision Spartoo est une première pour la Cnil car elle a joué le rôle de chef de file pour les autres autorités européennes. En effet, le e-commerçant édite 16 sites web au sein de 13 pays de l’Union européenne et les manquements pouvaient aussi concerner certains de ces pays. C’est le cas par exemple de l’Italie, où il demandait une copie de « la carte de santé » pour lutter contre la fraude. Une collecte jugée excessive par la Cnil.

Dans cette procédure, la Cnil a coopéré avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction. Un signal envoyé à d’autres sociétés à couverture européenne pour leur spécifier que la coopération fonctionne. En tout cas, elle laisse à Spartoo 3 mois pour se conformer à cette décision, sinon une astreinte de 250 euros par jour de retard sera appliquée.