RGPD et sanctions : le cas Spartoo

Ne pas se mettre en conformité avec le RGPD peut coûter très cher !

Le 28 juillet dernier, suite à des manquements au RGPD, la célèbre plateforme de vente en ligne Spartoo s’est vue infligée par la CNIL une amende de 250 000€ et l’obligation dans les 3 mois de se mettre en conformité.

Une lourde peine pour Spartoo, sanctionnée par l’autorité de contrôle française suite à plusieurs infractions avérées, comme par exemple :

  • Enregistrements excessifs des données

Spartoo a failli au principe de minimisation des données, inscrit à l’article 5-1 c du RGPD, en enregistrant l’intégralité des appels téléphoniques reçus par les salariés du service client, et en conservant les coordonnées bancaires des clients, communiquées lors des commandes par téléphone.

  • Manquements relatifs à la conservation et la sécurisation des données

Spartoo n’applique pas de politique de durée de conservation des données clients et prospects. La CNIL condamne l’entreprise pour « la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients » et pour l’insuffisance de la sécurité des données, notamment concernant les mots de passe, jugés pas assez robustes…

  • Insuffisante information des personnes

Conformément à l’article 13 du RGPD, Spartoo doit informer les visiteurs de son site internet. Or, les informations mentionnées dans sa politique de confidentialité des données n’est pas conforme au RGPD. La CNIL soulève le fait que la société ne fournit pas d’informations claires et précises sur les consentement et le traitement des données mis en œuvre.

  • Une gestion risquée des cartes de paiement

Autre infraction significative constatée par la CNIL : les données bancaires des clients étaient conservées sans chiffrement durant six mois dans les bases de données Spartoo. L’entreprise collectait des photographies ou des scans affichant les numéros de la carte bancaire. Aussi, le manque de sécurisation de ces fichiers exposait l’entreprise à des tiers malveillants

Le cas Spartoo est une première pour la CNIL, qui a adopté cette sanction en coopération avec d’autres autorités européennes, la plateforme étant accessible dans 13 pays de l’Union.

Cet exemple concret illustre parfaitement la nécessité pour les entités collectant et traitant des données à caractère personnel de faire appel à des spécialistes du RGPD et d’être conseillés, accompagnés et sensibilisés, afin de gérer les risques et éviter les sanctions. Un véritable pilotage professionnel de la mise en conformité garantira le plus haut niveau de protection des données à caractère personnel.

Pour en savoir plus, consultez l’article de la CNIL : https://bit.ly/2DQb944

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *