En mai 2018, la CNIL1 a contrôlé la société Spartoo, en charge du site Spartoo.com, et a démarré une procédure2 à son encontre.

L’organisme de contrôle français reproche au spécialiste de la mode en ligne :

  • La collecte et la conservation des justificatifs de domicile et des scans des cartes bancaires de ses clients.
  • La conservation des données clients sans limite de durée.
  • L’enregistrement et la conservation de tous les appels téléphoniques reçus par les salariés.
  • La collecte et la conservation de la « carte de santé » de ses clients italiens.
  • Le manque de robustesse des mots de passe des clients.

Conservation des justificatifs de domicile et des scans des cartes bancaires

Lors du passage de commande, la société Spartoo demandait à ses clients de leur envoyer par e-mail ces deux documents sous prétexte de lutte contre la fraude.

Or, la CNIL a rappelé que l’e-mail n’est pas un moyen de communication sécurisé et que la société avait reçu l’autorisation de stocker uniquement le numéro tronqué et la date de fin de validité de la carte bancaire.

Conservation des données clients sans limite de durée

En contradiction avec le RGPD3 qui impose l’obligation de supprimer ce type de données au bout d’un certain temps, la société gardait près de 4,5 millions de clients bien que ces derniers ne s’étaient pas connectées depuis plus de 5 ans.

La société a ensuite mis en place une durée de conservation de 5 ans, période qui a été jugée trop importante par la CNIL, qui a estimé qu’il n’était pas nécessaire de les garder plus de 2 ans, période après laquelle la société Spartoo arrête d’envoyer des e-mails promotionnels à ses clients sans activité.

Par ailleurs, la CNIL a indiqué que la seule ouverture d’un e-mail ne peut pas être considérée comme une activité du client, dans la mesure où un e-mail peut être ouvert involontairement et automatiquement par les logiciels de messagerie.

Conservation des appels téléphoniques reçus par les salariés

La société a indiqué enregistrer tous les appels pour permettre la formation de ses salariés alors même que la société a indiqué utiliser un seul enregistrement par semaine.

La CNIL a jugé cette pratique disproportionnée, et a également reproché le manque d’informations des salariés sur la finalité de ces enregistrements.

Manque de robustesse des mots de passe des clients

Enfin, le manque de robustesse des mots de passe des clients a été soulevé.

La CNIL a indiqué qu’un mot de passe composé uniquement de six chiffres n’était pas suffisamment robuste.

Délibéré et réaction

Au vu de ces griefs, la CNIL a prononcé une amende de 250 000 euros plus une astreinte de 250 euros par jours de retard à l’issue d’un délai de 3 mois. La décision a aussi été rendue publique.

La société Spartoo a réagi sur Twitter et s’est engagée à apporter les modifications le plus vite possible :

« Nous prenons acte de la décision de la CNIL. Nous nous engageons à réaliser les modifications demandées au plus tôt. Soyez en sûrs Spartoo depuis toujours est très engagé dans le respect des réglementations quant aux données personnelles de ses clients »

— Tweet de @Spartoo, 05/08/2020

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés.
  2. La CNIL a sanctionné la société Spartoo pour manquements au RGPD. Voir « Délibération de la CNIL contre la société Spartoo du 28 juillet 2020 (SAN-2020-003) ».
  3. RGPD : Règlement Général de Protection des Données.