Par une décision du 28 juillet 2020, La CNIL a infligé une sanction de 250 000 Euros et une obligation de se mettre en conformité avec le RGPD dans un délai de 3 mois sous astreinte de 250 euros par jour de retard, à la société SPARTOO, société spécialisée dans le secteur de la vente en ligne de chaussures opérant dans 13 pays européens.
Il s’agit de la première sanction de la CNIL en tant qu’autorité chef de file, qui sanctionne les manquements suivants de la société concernant les traitement des données de clients, prospects et salariés :
- collecte de données excessive : enregistrement téléphonique permanent, conservation des données bancaires enregistrée lors de l’appel et la collecte de carte de santé en Italie ;
- durée de conservation excessive : durée de conservation non déterminée ou injustifiée ;
- manquements à l’obligation d’infomation des personnes concernées : mauvaises bases légales indiquées dans la politique de confidentialité clients et informations très incomplètes des salariés concernant les enregistrements téléphoniques ;
- manquement à l’obligation de sécurité des données : les données de cartes bancaires étaient conservées en clair pendant 6 mois et les mots de passes client n’était pas assez robustes.
Cette décision relève d’une certaine importance, dans le mesure où la CNIL a coopéré avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction.
1. Contexte
La société SPARTOO est spécialisée dans la vente en ligne de chaussures et opère dans 13 pays de l’Union Européenne.
Lors d’un contrôle conduit en mai 2018, la CNIL a constaté plusieurs manquements au RGPD et a décidé d’engager une procédure de sanction à l’encontre de la Société en 2019.
2. Collecte excessive de données
La Société enregistrait tous les appels téléphoniques reçus par les salariés du service client à des fins de formation.
La CNIL a considéré que l’enregistrement permanent et intégral des appels n’était pas nécessaire à cette fin. En effet, elle relève que la personne en charge de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.
Elle relève également que l’enregistrement et la conservation des coordonnées bancaires des clients communiquées par le client ne sont pas non plus nécessaire à la formation des salariés.
Il faut noter que la CNIL tend à considérer l’enregistrement permanent des appels téléphoniques des salariés comme excessif quelle que soit leur finalité à moins qu’une réglementation ne l’autorise (ex: réglementation bancaire pour les ordres de bourses).
Par ailleurs, la demande d’une copie de la carte de santé et d’identité en italie à des fins de lutte contre la fraude a été jugée excessive et non pertinente, la copie de la carte d’identité étant suffisante.
3. Durée de conservation excessive
La société n’avait pas mis en place de durée de conservation et aucun effacement et/ou archivage régulier n’était mis en oeuvre.
3.1. Concernant les clients
Bien que la Société se soit engagée à conserver les données clients pendant 5 ans suite à ce contrôle, la CNIL sanctionne la société d’avoir conservé pendant plusieurs années un nombre très important de données d’anciens clients (plus de 3 millions de personnes ne s’étaient pas connecté à leur compte depuis plus de 5 ans).
3.2. Concernant les prospects
La Société a mis en place une durée de conservation de 5 ans des données des prospects à compter de leur dernière activité (par exemple l’ouverture d’une newsletter) mais qu’elle n’envoie plus de prospection commerciale aux personnes qui ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La CNIL en a donc conclu que la durée de conservation devait se limiter à deux ans et non 5 ans.
En ce qui concerne le point de départ de la durée de conservation de 2 ans , la CNIL rappelle que la seule ouverture de l’e-mail de prospection n’est pas suffisante pour justifier le renouvellement du délai dans la mesure où le message peut avoir été involontairement ouvert. Selon l’autorité, il doit s’agir d’un évènement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel.
En effet, la CNIL dans des décisions précédentes avait considéré que le prospect devait cliquer sur un lien vers le site internet pour prouver son intérêt. Cette position de la CNIL a toujours semblé un peu excessive dans la mesure où toutes newsletters (par exemple de journaux en ligne), n’appelle pas forcément à aller sur le site internet de la société concernée et la personne peut simplement cliquer sur le lien de désinscription dans chaque e-mail si elle n’est plus intéressée. Toutefois, les autres autorités concernées semblent être d’accord avec la position de la CNIL tout en laissant la porte ouverte à d’autres moyens de démontrer un intérêt.
La conservation de l’adresse électronique et des mots de passe au delà de 5 ans, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.
4. Manquement à l’obligation d’information des personnes
La CNIL a relevé que l’information fournies sur le site web de la société est erronée, les bases légales des traitements indiquées n’étant pas correctes.
L’information des salariés portant sur l’enregistrement des appels téléphoniques passés avec les clients est également insuffisante dans la mesure où ils ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.
5. Manquement à l’obligation d’assurer la sécurité des données
La CNIL a relevé que :
- les mots de passe d’accès aux comptes clients via le site web n’était pas assez robustes ;
- la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande, à des fins de lutte contre la fraude, ne permet pas de garantir la sécurité des données bancaires des clients.
En conclusion
- Indiquer les bonnes bases légales dans les politiques de confidentialités et s’assurer que l’information est complètes ;
- Vérifier que les données collectées sont nécessaires en priorité lorsqu’elles sont sensibles ou que leur volume rend la collecte intrusive ;
- Fixer des durées de conservation cohérentes et en phase avec les finalités poursuivies ;
- Revoir la politique de sécurité et mots de passes (les problématiques de sécurités font l’objet d’une sanction dans la plupart des contrôles de la CNIL).
Cette publication est également disponible en en_GB.