RGDP : 250 000 euros de sanction contre Spartoo

Commenter / Durée de conservation des données / Auteur :
Notez ce point juridique

La CNIL, en tant que « chef de file », a adopté sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO (vente en ligne de chaussures). La CNIL a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction. Cette sanction tient notamment compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects). Plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD. Les manquements au RGDP sont les suivants : 

Principe de minimisation des données

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD) : l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

Conservation des coordonnées bancaires des clients

L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.

Copie de la « carte de santé »

Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente.

Durée de conservation des données (article 5-1 e) du RGPD) 

Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).

Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité (par exemple l’ouverture d’une newsletter). Or, la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.

La CNIL a précisé que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – ce qui permet de justifier la conservation de leurs données – dans la mesure où ce message peut être ouvert involontairement par celle-ci.

Après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.

Obligation d’information des personnes (article 13 du RGPD)

L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Enregistrement des appels téléphoniques

Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Sécurité des données (article 32 du RGPD)

S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top