Spartoo se prend les pieds dans les principes du RGPD

Spartoo se prend les pieds dans les principes du RGPD

Le site e-commerce de vente de chaussures Spartoo écope d’une sanctionne de 250.000 euros de la Cnil. L’autorité constate plusieurs manquements RGPD à l’égard des données des clients, mais aussi des prospects et des salariés.

Le RGPD est en application en Europe depuis mai 2018. Certains acteurs du e-commerce peinent cependant toujours à se mettre en conformité. C’est le cas du site de vente de chaussure sur Internet, Spartoo.

L’entreprise a fait l’objet d’une enquête à l’échelon européen avec la coopération de plusieurs autorités. Et dans ce cadre, la Cnil remplissait la fonction de « chef de file ». C’est donc elle qui rend la sanction pour les multiples manquements de Spartoo à l’égard d’obligations du RGPD.

Les données de tous les appels enregistrées et conservées

L’e-commerçant ne respecte pas ainsi le principe de minimisation des données. Par exemple, les appels des clients font l’objet d’un enregistrement intégral et permanent. Une pratique qualifiée d’excessive par le gendarme français des données personnelles.

« Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié » considère-t-il ainsi. En outre, ces enregistrements aboutissent à la conservation des données bancaires des clients. Inutile une fois encore pour la formation interne.

Certaines pratiques sont toutefois spécifiques à des pays. En Italie par exemple, Spartoo collecte la copie de la « carte de santé » des clients. « La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente » tance l’autorité.

Des données conservées sans limitation de durée

Non seulement le site e-commerce collecte trop de données, mais en outre il les conserve trop longtemps. C’est le second manquement au RGPD retenu contre l’entreprise. En effet, pour les clients comme les prospects, aucune durée de conservation de s’applique.

De plus, le contrôle révèle que Spartoo « n’effaçait pas régulièrement les données personnelles et ne les archivait pas. » Depuis, la société prévoit une conservation des données de 5 ans. Néanmoins, des années durant, l’e-commerçant n’a pas respecté le principe du RGPD.

Dans les faits, « pendant plusieurs années », Spartoo stockait les données de plus de 3 millions d’anciens clients ne s’étant pas connectés à leur compte depuis plus de 5 ans. Pour les prospects, dont les abonnés newsletter, la Cnil limite par ailleurs la conservation des données à deux ans.

Troisième erreur du site de vente en ligne : le non-respect de son obligation d’information. Les éléments disponibles dans sa politique de confidentialité des données ne sont pas conformes. Mais l’entreprise omet aussi d’informer suffisamment ses propres salariés.

Trois mois pour s’aligner sur le RGPD

« Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits » considère l’autorité.

Enfin, Spartoo est sanctionné pour ses mesures de sécurité. Le régulateur lui reproche par exemple de ne pas imposer à ses clients des mots de passe assez robustes. La conservation des données de cartes bancaires en clair et durant 6 mois pour des motifs de lutte contre la fraude ne passe pas non plus.

Ces nombreux manquements, y compris vis-à-vis d’obligations antérieures au RGPD, valent donc au site une amende publique de 250.000 euros. Sparto a en outre trois mois pour mettre ses traitements de données en conformité avec le RGPD. Le site est sous le coup d’une astreinte de 250 euros par jour de retard.

A lire également sur MyData

Services numériques basés sur les données vocales : les obligations légales à maîtriser

Guide pour un projet data voix compatible RGPD

La voix, l’interface de référence de demain des solutions numériques ? Le potentiel est là dans de nombreux secteurs. Voix et données vocales doivent toutefois être traitées dans les règles.

A propos de Christophe Auffray 396 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.