La CNIL a infligé une sanction de 250 000 euros à la société SPARTOO pour plusieurs manquements au RGPD. Parmi les infractions, le principe de minimisation des données a été violé, notamment par l’enregistrement excessif des appels du service client. De plus, la conservation des coordonnées bancaires des clients et la collecte de copies de la « carte de santé » ont été jugées non nécessaires. La société n’avait pas mis en place de durée de conservation adéquate pour les données, conservant des informations de millions d’anciens clients sans justification. Ces manquements soulignent des lacunes dans la protection des données personnelles.. Consulter la source documentaire.

Quels sont les manquements au RGPD identifiés par la CNIL concernant la société SPARTOO ?

La CNIL a identifié plusieurs manquements au RGPD par la société SPARTOO, qui incluent des violations des principes de minimisation des données, de conservation des données, et d’obligation d’information.

Tout d’abord, le principe de minimisation des données stipule que seules les données nécessaires à la finalité poursuivie doivent être collectées. SPARTOO a enregistré tous les appels téléphoniques de son service client, ce qui a été jugé excessif, car un seul enregistrement par semaine par salarié était suffisant pour la formation.

Ensuite, la conservation des coordonnées bancaires des clients a été jugée non nécessaire pour la formation des salariés, ce qui constitue un autre manquement.

De plus, la collecte de la copie de la « carte de santé » des clients en Italie a été considérée comme excessive, car elle contenait plus d’informations que nécessaire.

Quelles sont les implications de la durée de conservation des données pour SPARTOO ?

La CNIL a constaté que SPARTOO n’avait pas mis en place de durée de conservation des données pour ses clients et prospects. Cela signifie que la société ne supprimait pas régulièrement les données personnelles, ce qui est contraire à l’article 5-1 e) du RGPD.

Bien que SPARTOO ait depuis prévu de conserver les données des clients pendant cinq ans, la CNIL a noté que plus de 3 millions de clients n’avaient pas accédé à leur compte depuis plus de cinq ans.

Concernant les prospects, la société a établi une durée de conservation de cinq ans à partir de leur dernière activité, mais la CNIL a jugé que cette durée était excessive, car la société ne faisait pas de prospection active durant les deux années suivant l’absence d’intérêt manifeste.

Comment la CNIL a-t-elle évalué la conformité de l’information fournie aux utilisateurs ?

La CNIL a évalué que l’information fournie par SPARTOO dans sa politique de confidentialité n’était pas conforme aux exigences du RGPD, notamment l’article 13.

La société a indiqué que le consentement était la base légale de tous les traitements, alors que plusieurs traitements reposaient en réalité sur d’autres bases légales, comme le contrat ou les intérêts légitimes.

Cette confusion peut induire les utilisateurs en erreur quant à leurs droits et aux raisons pour lesquelles leurs données sont traitées, ce qui constitue une violation des obligations d’information.

Quelles sont les lacunes concernant l’enregistrement des appels téléphoniques ?

Concernant l’enregistrement des appels téléphoniques, la CNIL a noté que les salariés de SPARTOO n’étaient pas suffisamment informés des finalités de ce traitement.

Ils n’étaient pas au courant de la base légale justifiant l’enregistrement, des destinataires des données, de la durée de conservation, ni de leurs droits relatifs à ces données.

Cette insuffisance d’information constitue une violation des obligations d’information imposées par le RGPD, ce qui peut affecter la transparence et la confiance des employés et des clients.

Quelles mesures de sécurité des données SPARTOO aurait-elle dû mettre en place ?

La CNIL a souligné que SPARTOO aurait dû imposer des mots de passe plus robustes pour l’accès aux comptes clients sur son site web.

De plus, la conservation en clair des numérisations de la carte bancaire pendant six mois a été jugée insuffisante pour garantir la sécurité des données bancaires des clients.

Ces manquements à l’article 32 du RGPD, qui impose des mesures de sécurité appropriées, exposent les données des clients à des risques de fraude et de vol, ce qui pourrait avoir des conséquences graves pour la société et ses clients.