La CNIL[1] a sanctionné la société SPARTOO, éditeur du site « spartoo.com », le 28 juillet 2020, pour de nombreux manquements relatifs au RGPD[2], notamment une conservation trop importante de données personnelles, un manque d’informations et un manque de sécurité.

Conservation trop importante de données personnelles

Concernant la conservation de données personnelles, la Commission reproche au spécialiste de la vente de ligne de vêtements et chaussures « l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client » effectué, d’après la société, pour évaluer et former les salariés. La CNIL a rappelé à Spartoo que les données enregistrées devaient être « limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[3]. Étant donné que la personne chargée de la formation n’écoutait « généralement qu’un enregistrement par semaine et par salarié, l’enregistrement « intégral et permanent » des appels téléphoniques était « excessif ».

Toujours concernant ces enregistrements, la CNIL reproche aussi à Spartoo de ne pas avoir implémenté un mécanisme pour éviter l’enregistrement des coordonnées bancaires des clients, qui étaient communiquées lorsque les clients appelaient pour passer une commande par téléphone. La Commission considère que l’enregistrement, en clair, de coordonnées bancaires « n’est pas justifié » lorsque l’objectif est la formation des salariés.

Par ailleurs, la société Spartoo demandait à ses clients italiens, dans le cadre de la lutte contre la fraude, de lui fournir une copie de la carte d’identité et une copie de la carte de santé[4]. La CNIL a considéré que la collecte de deux documents d’identité était, encore une fois, « excessive ».

Conservation trop longue de données personnelles

Concernant la durée de conservation des données, la société conservait des informations sur ses clients et prospects, alors que les personnes ne s’étaient pas connectées pendant de nombreuses années, parfois plus de dix ans.

La CNIL a rappelé à l’éditeur que « les données à caractère personnel doivent être conservées […] pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[5] et a indiqué que les données des clients et prospects auraient dû être conservées pendant une durée prédéfinie adaptée. Pour le cas de Spartoo, « la durée de deux ans apparaît proportionnée »[6].

Par ailleurs, lors de la procédure, la société Spartoo a indiqué utiliser l’ouverture d’un e-mail[7] promotionnel pour justifier le caractère actif d’un prospect ou d’un client. La Commission a cependant considéré que l’activité d’une personne ne peut pas se déduire de l’ouverture d’un e-mail, mais doit correspondre à « un évènement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel »[8].

Enfin, la société Spartoo a mis en place un système pour éviter de supprimer les données des clients inactifs. Ce système consistait à garder une empreinte de l’adresse e-mail et du mot de passe pour permettre au client de retrouver ses identifiants, s’il décide de se reconnecter. La CNIL a cependant considéré que ce mécanisme, même s’il utilise une fonction de hachage robuste[9], ne peut pas être considéré comme une forme « anonymisée » des données, mais uniquement comme une forme « pseudonymisée », car le mécanisme a pour objectif de permettre aux clients de retrouver leur compte.

Autres manquements

Concernant les informations relatives au traitement de données personnelles, la CNIL reproche aussi la société Spartoo :

  • de ne pas avoir informé les clients que les enregistrements des appels téléphoniques étaient transférés vers Madagascar[10] ;
  • de na pas avoir informé individuellement les salariés que les appels téléphoniques passés avec les clients étaient enregistrés.

Enfin, concernant la sécurité des données personnelles, la Commission reproche à la société :

  • le manque de robustesse des mots de passe des clients[11].
  • la collecte par e-mail, non chiffré, des copies des cartes bancaires des clients[12] ;
  • la conservation, en clair, des copies des cartes bancaires des clients.

Une amende de 250 000 euros a été prononcée à l’encontre de la société Spartoo, soit 0,15 % de son chiffre d’affaires[13]. La société dispose de trois mois pour se mettre en conformité, sous peine d’une astreinte de 250 euros par jour.

Le 31 mars 2022, la CNIL a estimé que la société SPARTOO avait satisfait à l’ensemble de l’injonction.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande que les données à caractère personnelles doivent être « limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-c). Les enregistrements des appels téléphoniques entre les clients et les salariés étant des données à caractère personnelles, cette obligation de minimisation des données devait s’appliquer. Voir « Quelles données à caractère personnel peut-on collecter ? » et « La voix d’une personne est-elle une donnée à caractère personnel ? ».
  4. En Italie, la carte de santé est un document qui contient de nombreuses données personnelles, notamment : le nom de la personne, le prénom, le genre, le code fiscal, le lieu de naissance. Le document contient aussi une date d’expiration, qui peut être utilisée pour déduire l’éventuelle autorisation de séjour provisoire de la personne.
  5. Le RGPD demande que « les données à caractère personnel doivent être conservées […] pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article : 5-1-e). Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  6. La CNIL recommande que les données personnelles sur les clients et prospects soient conservées pendant une durée maximale de trois ans. Spartoo n’envoyant plus des e-mails promotionnels après deux ans lorsque les prospects n’y montrent pas d’intérêt, une durée de deux ans apparait appropriée dans ce cas. Voir « Combien de temps peut-on conserver des données sur ses clients et prospects ? ».
  7. Certains éditeurs intègrent des « pixels espions » à leurs e-mails pour détecter si le destinataire ouvre l’e-mail. Voir « Des pixels espions sont présents dans tous vos e-mails, mais vous pouvez les bloquer » et « Pourquoi les pixels espions sont utilisés et comment peuvent-ils vous espionner ? ».
  8. Les « pixels espions » intégrés dans les e-mails pouvant se charger automatiquement, ils ne devraient pas être utilisés pour déterminer le caractère actif du client. Voir « L’ouverture d’un e-mail est-elle considérée comme une action significative de l’internaute ? ».
  9. La société Spartoo utilisait la fonction de hachage « SHA-256 » pour conserver l’adresse e-mail et le mot de passe des utilisateurs inactifs.
  10. Le RGPD demande de communiquer aux personnes des informations sur le traitement effectué, notamment « le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers » (source : RGPD, article 13-1-f). Spartoo aurait donc indiquer que les données étaient transférées vers Madagascar. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  11. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères et certains caractères spéciaux. Spartoo acceptait que les clients utilisent un mot de passe de six caractères, ce qui est contraire aux recommandations de la CNIL. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  12. Les e-mails ne permettent pas de garantir la confidentialité des données. Spartoo ne devait donc pas demander à ses clients de lui envoyer une copie de leur carte bancaire. Voir « Peut-on envoyer des données à caractère personnel par e-mail ? ».
  13. Le chiffre d’affaires de la société a été retiré de la délibération, mais son introduction en bourse en 2021 nous permet de connaître ses comptes. Le chiffre d’affaires du groupe Spartoo est de 199 743 000 € en 2019 (source : amf-france.org).