Nouvelle sanction CNIL à l’encontre d’un géant du e-commerce

La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 250.000 euros à la société Spartoo spécialisée dans la vente en ligne et présente dans plus de 10 pays au sein de l’UE.

Bien qu’il s’agisse ici de la première sanction prononcée par la CNIL en tant qu’autorité chef de file, l’intérêt véritable de cette décision réside dans les grands principes qu’elle entend rappeler (et préciser) :

- Principe de minimisation : les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Pour la CNIL, les enregistrements de l’intégralité des appels téléphoniques au service client Spartoo sont disproportionnés par rapport à la finalité d’évaluation et de formation des salariés, ce d’autant que :

• si les clients avaient la possibilité de s’opposer à l’enregistrement de leur conversation, ce n’était pas le cas des salariés ; et

• la personne en charge de la formation n’écoutait en général qu’un enregistrement par semaine et par salarié.

En outre, il n’était pas nécessaire de collecter en Italie une copie de la carte de santé en plus de la carte d’identité pour lutter contre la fraude.

- Principe de limitation de la durée de conservation des données : les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Spartoo a été sanctionnée pour avoir conservé pendant plusieurs années les données personnelles d’anciens clients : près de 3 millions de données clients étaient encore conservées alors que ces derniers ne s’étaient pas connectés à leur compte depuis 2013.

Qui plus est, la CNIL a retenu que la conservation pendant 5 ans – à compter du dernier contact – des données des prospects était excessive dès lors que :

• la société n’adressait pas de communication électronique après une période d’inactivité du prospect de 2 ans ; et

• la simple ouverture d’un email ne pouvait justifier de l’intérêt de la personne pour les produits et ainsi servir de point de départ au délai de conservation de 5 ans.

- Principe de transparence : obligation d’information des personnes.

L’information des personnes était insuffisante aux yeux de la CNIL dès lors que :

• Les clients n’étaient pas informés du transfert de leurs données à Madagascar dans le cadre des appels téléphoniques et le consentement était cité comme l’unique base légale de tous les traitements alors que certains traitements reposaient en réalité sur d’autres bases telles que l’exécution du contrat.

• Les salariés n’étaient pas informés, dans le cadre de la mise en place de dispositifs d’écoute, de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

- Obligation de sécurité : le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement.

Ne satisfait pas à cette obligation, la société qui tolère des mots de passe peu robustes et conserve des scans de cartes de crédit faisant apparaitre l’ensemble des numéros.

Par cette décision la CNIL invite les entreprises à veiller encore davantage au respect des obligations du RGPD issues de dispositions déjà applicables antérieurement, sous peine d’une interprétation plus stricte de ces violations.

En pratique, les responsables de traitement devront s’assurer que :

- Les catégories de données collectées sont proportionnées à la finalité annoncée.

- Les durées de conservation des données (ainsi que leurs points de départ) sont clairement définies et justifiées. Concernant les prospects, nous recommandons de suivre les recommandations de la CNIL et de ne pas conserver leurs données personnelles pendant plus de 3 ans à compter de la collecte ou du dernier contact émanant du prospect (qui ne peut résulter de la simple ouverture d’un email).

- Le consentement n’est pas utilisé comme base juridique du traitement si le traitement est susceptible de reposer sur une autre base juridique (ex : exécution d’un contrat).

- L’ensemble des personnes concernées sont informées de la collecte et du traitement de leurs données conformément aux dispositions des articles 13 et 14 du RGPD.

- Les mots de passe sont conformes aux recommandations de la CNIL en la matière (lien Legifrance).

- Les scans de carte de crédit demandés ne font pas apparaitre l’ensemble des numéros de la carte.

Click here to read the English version.