Données personnelles : la Cnil épingle l'enseigne Spartoo

Le gendarme français des données personnelles a infligé une amende de 250.000 euros à l'enseigne de vente de chaussures, pour non-respect du RGPD, le règlement général sur la protection des données...

Crédit photo © Reuters

(Boursier.com) — Lourde sanction pour Spartoo... Le site de vente en ligne de chaussures s'est vu infliger une amende de 250.000 euros pour non-respect du RGPD, le règlement européen sur la protection des données, comme l'a annoncé la Commission nationale de l'informatique et des libertés (Cnil) ce mercredi.

Suite à un contrôlé effectué en mai 2018, le gendarme français des données personnelles a constaté "des manquements concernant les données des clients, des prospects et des salariés. La Présidente de la Cnil a donc décidé d'engager une procédure de sanction à l'encontre de la société en 2019", explique-t-on dans un communiqué.

Ces manquements ne se sont pas limités au marché français. En effet, "les clients et prospects de la société concernés étant situés dans plusieurs pays européens", la Cnil a ainsi "coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l'adoption de la décision de sanction".

"Aucune durée de conservation des données des clients"

Parmi les manquements repérés, la Cnil a d'abord jugé "excessif" le fait d'enregistrer intégralement et de façon permanente des appels téléphoniques reçus par les salariés du service client. "Le fait d'enregistrer tous les appels n'est pas justifié car la personne chargée de la formation des salariés n'écoute qu'un enregistrement par semaine et par salarié".

Par ailleurs, l'enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n'est "pas non plus nécessaire pour la finalité poursuivie".

La CNIL, en tant que " chef de file ", a adopté une première décision de #sanction de 250 000 euros en #coopération avec d'autres autorités de contrôle européennes, en réponse à plusieurs manquements au #RGPD ??https://t.co/4CQuBvup0D

Le gendarme des données personnelles a également relevé qu'"aucune durée de conservation des données des clients et des prospects n'était mise en place par la société, qui n'effaçait pas régulièrement les données personnelles et ne les archivait pas".

Une astreinte de 250 euros par jour de retard

Depuis le contrôle, la société a prévu de conserver ces données pendant 5 ans. Or, la Cnil a "considéré que la conservation des données des prospects n'était pas nécessaire au-delà de ce délai de deux ans". D'autre part, il a également été relevé que la conservation des adresses électroniques et des mots de passe, sous une forme pseudonymisée et non anonymisée, n'était pas conforme au RGPD, le règlement général sur la protection des données.

La société grenobloise a été enjointe de mettre ses traitements en conformité avec le RGPD et d'en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard...