L’e-commerçant Spartoo, transformé en cas d’école du mauvais respect du RGPD

Spartoo est un e-commerçant spécialisé dans la vente de chaussures sur internet. Son site web est accessible dans 13 pays de l’Union européenne. Spartoo est sanctionné d’une amende de 250 000 € par la Cnil pour son mauvais respect du règlement général sur la protection des données (RGPD). L’avis publié par la Cnil permet de mieux identifier les domaines à regarder de près.

Un contrôle coordonné sur 13 pays européens

La Cnil a contrôlé le commerçant en mai 2018, et a constaté des manquements concernant les données des clients, des prospects et des salariés. La Cnil a donc décidé d’engager une procédure de sanction à l’encontre de la société en 2019. Etant donné que les clients et les prospects de Spartoo sont situés dans plusieurs pays européens, la Cnil a coopéré durant la procédure avec les autres autorités européennes concernées afin de décider de la sanction. Spartoo est considéré comme ayant manqué à plusieurs obligations du RGPD.

Premier manquement : le non respect de la minimisation des données (article 5-1 c) du RGPD). La Cnil indique que l’enregistrement permanent et intégral des appels téléphoniques reçus par les salariés du service client est excessif. Enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié. De même, l’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés. Un cas particulier, en Italie, concerne la « carte de santé » des clients, copiée afin de lutter contre la fraude. La Cnil considère que cette copie est excessive et non pertinente car ce document contient davantage d’informations que la carte d’identité, et qu’une copie de la carte d’identité est déjà demandée aux clients.  

Deuxième manquement : le non respect de l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD. Lors du contrôle, aucune durée de conservation des données des clients et des prospects n’était mise en place par Spartoo, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Spartoo a prévu, depuis le contrôle de la Cnil de conserver ces données pendant 5 ans. La Cnil retient toutefois comme manquement au RGPD une conservation d’un nombre très important de données d’anciens clients pendant plusieurs années. Ainsi, 3 millions de clients ne s’étaient pas connectés à leur compte depuis plus de 5 ans.

Une durée de conservation ramenée à 2 ans pour les prospects

En ce qui concerne les prospects, Spartoo a mis en place une durée de conservation des données de 5 ans à compter de leur dernière activité, comme par exemple l’ouverture d’une newsletter. Mais Spartoo n’adresse plus de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant 2 ans. Dès lors, la Cnil considère que la conservation des données des prospects n’est pas nécessaire au-delà de ce délai de 2 ans.

La Cnil précise que la seule ouverture d’un email de prospection ne permet pas de démontrer qu’une personne est intéressée par les produits ou services d’une société – ce qui permet de justifier la conservation de leurs données – car un email peut être ouvert involontairement. Par ailleurs, passé le délai de 5 ans, la Cnil considère que la conservation de l’adresse électronique et du mot de passe d’un client, sous une forme pseudonymisée et non anonymisée, afin que le client puisse se reconnecter à son compte, n’est pas conforme au RGPD.

Troisième manquement : non respect de l’obligation d’information des personnes (article 13 du RGPD). La Cnil considère que l’information fournie dans la politique de confidentialité des données du site web de Spartoo n’est pas conforme. En effet, Spartoo ne peut pas indiquer que le consentement est la base légale de tous les traitements qu’il met en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Les salariés insuffisamment informés sur les appels téléphoniques

Concernant les salariés, leur information en ce qui concerne l’enregistrement des appels téléphoniques passés avec les clients est insuffisante, indique la Cnil. La Cnil pointe que les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Quatrième manquement : le non respect de l’obligation d’assurer la sécurité des données (article 32 du RGPD)La Cnil estime que s’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes. Plus grave, Spartoo conservait pendant 6 mois et en clair des numérisations de la carte bancaire utilisée par le client lors d’une commande. « Cela ne permet pas de garantir la sécurité des données bancaires des clients » insiste la Cnil.

Au final,  la Cnil insiste sur le fait que Spartoo conservait les données au-delà des durées nécessaires, cela pour plus de 3 millions d’anciens clients et plus de 25 millions de prospects. La Cnil constate que plusieurs des manquements de Spartoo portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD. Spartoo doit mettre ses traitements en conformité avec le RGPD et en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 250 € par jour de retard.

Une période difficile pour Spartoo

Décidément, la période est difficile pour Spartoo. Le e-commerçant avait acquis la chaîne de magasins André en 2018 afin d’opérer ses ventes e-commerce en mode Click and Collect. Il a du déposer le bilan d’André en mars 2020. L’activité d’André avait été fortement pénalisée par la fermeture de ses magasins durant le confinement déclenché face au Covid-19.

L’enseigne André était placée en redressement judiciaire en avril dernier avant qu’une partie de ses magasins (55 magasins sur 180 en France) et des emplois ne soit reprise par François Feijoo, ancien patron de l’enseigne de 2005 à 2013, via sa société 1Monde9.