Fermer la publicité
Journal d'information juridique et d'annonces légales

La CNIL sanctionne Spartoo pour non-conformité au RGPD

le - - Droit - Actualité du droit

La CNIL sanctionne Spartoo pour non-conformité au RGPD
DR

C'est en qualité de “chef de file” des autres autorités européennes que la CNIL a infligé une amende de 250 000 euros au vendeur de chaussures en ligne Spartoo et l'a enjoint, sous astreinte, de se conformer au RGPD.

La Commission nationale de l'informatique et des libertés (CNIL) vient de prononcer, en coopération avec d'autres autorités de contrôle européennes, une amende à l'encontre du chausseur en ligne Spartoo à qui elle reproche plusieurs manquement au Règlement européen de protection des données.

Ayant constaté en 2018 des manquements relatifs aux données des clients, des prospects et des salariés de la société, la CNIL a décidé de sanctionner cette dernière, en coopération avec les autres autorités européennes concernées, Spartoo éditant 16 sites internet dans 13 pays de l'Union européenne.

Enregistrements excessifs des données

La CNIL reproche à Spartoo un manquement au principe de minimisation des données, inscrit à l'article 5-1 c du RGPD. Elle estime que « l'enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client apparaît excessif au regard de la finalité d'évaluation de ceux-ci par la société ».

Par ailleurs, le régulateur considère que « l'enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n'est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés ».

Manquements relatifs à la conservation et la sécurisation des données

Les manquements retenus par la CNIL concernent également l'obligation de limitation de la durée de conservation des données. En effet, Spartoo ne dispose pas de politique de durée de conservation des données des clients et prospects et la durée de conservation de 5 ans, appliquée suite au contrôle de la CNIL, est trop longue pour cette dernière, qui exige une réduction à 2 ans pour les prospects. S'agissant des clients, elle condamne Spartoo pour « la conservation pendant plusieurs années d'un nombre très important de données d'anciens clients ».

L'insuffisante sécurité des données, et en particulier, les mots de passe jugés faibles et pas assez robustes, est également dénoncée par la Commission qui fait fi des efforts de Spartoo pour instaurer le blocage pendant une minute du compte après 19 tentatives d'accès infructueuses.

Insuffisante information des personnes

En vertu de l'article 13 du RGPD, Spartoo est tenue à une obligation d'information des personnes visitant son site internet. Or, les informations inscrites dans sa politique de confidentialité des données n'est pas conforme au Règlement. En effet, la Commission retient que la société n'est pas en mesure d'indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d'entre eux reposent sur d'autres bases légales comme les intérêts légitimes poursuivis par la société.

Au regard du nombre de manquements observés, la CNIL inflige une amende de 250 000 euros et l'enjoint à se mettre en conformité au RGPD d'ici trois mois, sous astreinte de 250 euros par jour de retard.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer