L’essentiel : La CNIL a infligé une sanction de 250 000 euros à la société SPARTOO pour plusieurs manquements au RGPD. Parmi les infractions, le principe de minimisation des données a été violé, notamment par l’enregistrement excessif des appels du service client. De plus, la conservation des coordonnées bancaires des clients et la collecte de copies de la « carte de santé » ont été jugées non nécessaires. La société n’avait pas mis en place de durée de conservation adéquate pour les données, conservant des informations de millions d’anciens clients sans justification. Ces manquements soulignent des lacunes dans la protection des données personnelles.

La CNIL, en tant que « chef de file », a adopté sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO (vente en ligne de chaussures). La CNIL a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction. Cette sanction tient notamment compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects). Plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD. Les manquements au RGDP sont les suivants : 

Principe de minimisation des données

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD) : l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

Conservation des coordonnées bancaires des clients

L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.

Copie de la « carte de santé »

Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente.

Durée de conservation des données (article 5-1 e) du RGPD)

Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).

Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité (par exemple l’ouverture d’une newsletter). Or, la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.

La CNIL a précisé que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – ce qui permet de justifier la conservation de leurs données – dans la mesure où ce message peut être ouvert involontairement par celle-ci.

Après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.

Obligation d’information des personnes (article 13 du RGPD)

L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Enregistrement des appels téléphoniques

Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Sécurité des données (article 32 du RGPD)

S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Q/R juridiques soulevées :

Quels sont les manquements au RGPD identifiés par la CNIL concernant la société SPARTOO ?

La CNIL a identifié plusieurs manquements au RGPD par la société SPARTOO, qui incluent des violations des principes de minimisation des données, de conservation des données, et d’obligation d’information.

Tout d’abord, le principe de minimisation des données stipule que seules les données nécessaires à la finalité poursuivie doivent être collectées. SPARTOO a enregistré tous les appels téléphoniques de son service client, ce qui a été jugé excessif, car un seul enregistrement par semaine par salarié était suffisant pour la formation.

Ensuite, la conservation des coordonnées bancaires des clients a été jugée non nécessaire pour la formation des salariés, ce qui constitue un autre manquement.

De plus, la collecte de la copie de la « carte de santé » des clients en Italie a été considérée comme excessive, car elle contenait plus d’informations que nécessaire.

Quelles sont les implications de la durée de conservation des données pour SPARTOO ?

La CNIL a constaté que SPARTOO n’avait pas mis en place de durée de conservation des données pour ses clients et prospects. Cela signifie que la société ne supprimait pas régulièrement les données personnelles, ce qui est contraire à l’article 5-1 e) du RGPD.

Bien que SPARTOO ait depuis prévu de conserver les données des clients pendant cinq ans, la CNIL a noté que plus de 3 millions de clients n’avaient pas accédé à leur compte depuis plus de cinq ans.

Concernant les prospects, la société a établi une durée de conservation de cinq ans à partir de leur dernière activité, mais la CNIL a jugé que cette durée était excessive, car la société ne faisait pas de prospection active durant les deux années suivant l’absence d’intérêt manifeste.

Comment la CNIL a-t-elle évalué la conformité de l’information fournie aux utilisateurs ?

La CNIL a évalué que l’information fournie par SPARTOO dans sa politique de confidentialité n’était pas conforme aux exigences du RGPD, notamment l’article 13.

La société a indiqué que le consentement était la base légale de tous les traitements, alors que plusieurs traitements reposaient en réalité sur d’autres bases légales, comme le contrat ou les intérêts légitimes.

Cette confusion peut induire les utilisateurs en erreur quant à leurs droits et aux raisons pour lesquelles leurs données sont traitées, ce qui constitue une violation des obligations d’information.

Quelles sont les lacunes concernant l’enregistrement des appels téléphoniques ?

Concernant l’enregistrement des appels téléphoniques, la CNIL a noté que les salariés de SPARTOO n’étaient pas suffisamment informés des finalités de ce traitement.

Ils n’étaient pas au courant de la base légale justifiant l’enregistrement, des destinataires des données, de la durée de conservation, ni de leurs droits relatifs à ces données.

Cette insuffisance d’information constitue une violation des obligations d’information imposées par le RGPD, ce qui peut affecter la transparence et la confiance des employés et des clients.

Quelles mesures de sécurité des données SPARTOO aurait-elle dû mettre en place ?

La CNIL a souligné que SPARTOO aurait dû imposer des mots de passe plus robustes pour l’accès aux comptes clients sur son site web.

De plus, la conservation en clair des numérisations de la carte bancaire pendant six mois a été jugée insuffisante pour garantir la sécurité des données bancaires des clients.

Ces manquements à l’article 32 du RGPD, qui impose des mesures de sécurité appropriées, exposent les données des clients à des risques de fraude et de vol, ce qui pourrait avoir des conséquences graves pour la société et ses clients.