E-commerçants – quelles leçons tirer de la sanction par la CNIL du site Spartoo ?

Le 5 août 2020, la formation restreinte de la CNIL a prononcé une amende de 250 000 euros à l’encontre de la société Spartoo, après avoir constaté les manquements au RGPD commis dans le cadre de son activité de e-commerce (vente en ligne de chaussures). Spartoo dispose de trois mois pour se mettre en conformité, sous astreinte de 250 €/jour de retard. Cette sanction rendue publique par la CNIL tient lieu d’avertissement pour l’ensemble des e-commerçants et les prestataires (en freelance, logiciels CRM, centres d’appel…).

Pour mettre en conformité les traitements effectués par le service client et concernant les ressources humaines en première ligne des appels, les e-commerçants pourront s’assurer que les actions suivantes sont mises en œuvre dans le cadre de leurs activités :

• Fournir une information légale complète et claire sur le site, dans les mails, au téléphone…
• Ne demander que les données strictement nécessaires et déterminer pourquoi (finalité)
• Respecter les règles de l’enregistrement des appels vis-à-vis des salariés et des interlocuteurs
• Respecter les règles de prospection commerciale et du droit d’opposition
• Conserver les informations/les appels pendant une durée limitée
• Archiver les fichiers au fur et à mesure lorsqu’il n’est plus nécessaire d’y recourir au quotidien
• Encadrer contractuellement la sous-traitance avec les prestataires
• Être réactif en cas de contrôle et prêt à fournir toute la documentation (registre des traitements, politique de confidentialité / de sécurité / de conservation et d’archivage / contrats avec les sous-traitants…)

La violation du principe de minimisation

Le RGPD prévoit une obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données personnelles collectées. Spartoo a violé ce principe en :

• Procédant à un enregistrement intégral et permanent des appels reçus par le service client ;
• Enregistrant les données bancaires des commandes par téléphone, puis en les conservant sans limitation de durée ;
• Copiant la carte de santé des clients en Italie et plus généralement, la carte d’identité des clients.

Pour justifier ces traitements, l’entreprise a indiqué que les enregistrements étaient nécessaires à la formation des salariés ou à la lutte contre la fraude. Néanmoins, il a été jugé que ces pratiques étaient excessives, même pour répondre à ces finalités.

L’absence de politique de conservation / archivage

Les entreprises et administrations ne peuvent pas conserver ad vitam eternam leurs fichiers. Il existe une obligation de limiter la durée de conservation des données et de documenter la politique de conservation et d’archivage. Lors de ses contrôles, la CNIL a constaté que plus de trois millions de personnes étaient toujours inscrites dans la base client, alors qu’elles ne s’étaient pas connectées depuis plus de 5 ans à leur compte. De plus, Spartoo avait indiqué faire de la prospection commerciale pendant 5 ans après le dernier contact actif avec le prospect ou client (durée légale maximale : 3 ans).

Il est intéressant de noter que la CNIL précise qu’il n’est pas possible de conserver des données même sous une forme pseudonymisée (hash…) pour une hypothétique utilisation future par un client de son ancien compte.

Des manques de transparence, d’information et de sécurité

L’article 13 du RGPD exige du responsable de traitement qu’il fournisse, au moment de la collecte des données personnelles, un certain nombre d’informations (identité du responsable des traitements, du DPO, base légale et finalités du traitement, durée de conservation et destinataire des données, transfert hors UE…). Ces informations devraient donc faire l’objet d’une politique de confidentialité, de mentions dans les formulaires, ou par une information préenregistrée au début d’un appel. Dans le cas Spartoo, la politique de confidentialité du site n’était pas complète.

De plus, les salariés de Spartoo n’étaient pas suffisamment informés, en particulier concernant les enregistrements vocaux dont ils faisaient l’objet. En effet, le RGPD ne concerne pas que les prospects et clients, mais toutes les personnes physiques et la voix des personnes enregistrées est une donnée personnelle à part entière. Enfin, la CNIL a relevé des défauts de sécurité concernant la robustesse des mots de passe et la conservation en clair des scans de cartes bancaires et justificatifs de lutte contre la fraude pendant 6 mois après la commande qui étaient envoyés par mail non chiffré.

La procédure de contrôle

Les contrôles ont commencé dès mai 2018, sur les traitements de données à caractère personnel des clients et des prospects de la société et l’enregistrement des conversations téléphoniques du service client. L’instruction s’est terminée en novembre 2019 puis la CNIL a adressé en tant que « chef de file » son projet de décision aux autres autorités européennes compétentes, la société éditant 16 sites actifs dans 13 pays membres de l’UE. Le pourcentage correspondant à la somme de 250 000 € par rapport au chiffre d’affaires mondial n’est cependant pas révélé, étant rappelé que le RGPD a levé le plafond des amendes qui peuvent atteindre 20 millions d’euros, ou 2 à 4% du CA.

Plus d’informations :

• Voir la délibération CNIL du 28 juillet 2020 et le communiqué de la CNIL du 5 août 2020.
• Site de la CNIL : Voir la page sur « La prospection commerciale par courrier postal et par téléphone (appel téléphonique) » et celle sur les listes d’opposition