La CNIL1 a sanctionné la société Spartoo en charge du site « spartoo.com », le 28 juillet 2020, pour des manquements relatifs au RGPD2.

La Commission reproche notamment au spécialiste de la mode :

  • La collecte et la conservation des justificatifs de domicile et des scans des cartes bancaires de ses clients.
  • La conservation des données clients sans limite de durée3.
  • L’enregistrement et la conservation de tous les appels téléphoniques reçus par les salariés4.
  • Le manque de robustesse des mots de passe des clients5.

Une sanction de 250 000 euros a été prononcée à l’encontre de Spartoo, soit 0,15 % de son chiffre d’affaires6.

Lire l'analyse détaillée
Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD impose que les données à caractère personnel soient conservées pendant une durée prédéfinie, en fonction de la finalité du traitement. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  4. Le RGPD a une notion de « minimisation » des données qui impose aux entreprises de collecter seulement les données à caractère personnel nécessaires au traitement effectué. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  5. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères, et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  6. Le chiffre d’affaires de la société a été retiré de la délibération, mais son introduction en bourse en 2021 nous permet de connaître ses comptes. Le chiffre d’affaires du groupe Spartoo est de 199 743 000 € en 2019 (source : amf-france.org).