Le 28 juillet 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé une amende de 250 000 euros à la société Spartoo, spécialiste de la vente en ligne de chaussures et vêtements. Cette sanction, rendue publique le 6 août 2020, fait suite à plusieurs manquements au Règlement Général sur la Protection des Données (RGPD) constatés lors de contrôles effectués entre mai et octobre 2018. Les infractions concernaient principalement la conservation excessive des données clients, l’enregistrement inapproprié des appels téléphoniques et le manque de sécurisation des mots de passe. Cette affaire marque un tournant dans l’application du RGPD par l’autorité française.
Les manquements identifiés par la CNIL chez Spartoo
L’enquête menée par la CNIL a révélé plusieurs violations significatives de la réglementation sur la protection des données personnelles. Premier constat majeur : Spartoo conservait de manière excessive les données de ses clients. L’entreprise stockait les informations de plus de 3 millions de clients inactifs depuis plus de 5 ans, pratique jugée disproportionnée au regard des finalités poursuivies. La durée de conservation n’était pas définie selon des critères précis et objectifs, contrevenant ainsi au principe de minimisation des données.
Autre infraction relevée : l’enregistrement systématique des appels téléphoniques des clients contactant le service client. Cette pratique concernait environ 25 000 appels par mois. La CNIL a considéré que cette collecte massive de données vocales n’était pas justifiée par un motif légitime suffisant et que les clients n’étaient pas correctement informés de cet enregistrement, violant ainsi le principe de transparence inscrit dans le RGPD.
La commission a par ailleurs pointé des lacunes dans la sécurisation des données des utilisateurs. Les mots de passe des clients étaient stockés sous une forme insuffisamment protégée, exposant potentiellement des informations sensibles en cas de piratage. De plus, Spartoo n’avait pas mis en place de politique de rétention claire pour les données des cartes bancaires, conservant certaines informations au-delà du temps nécessaire à la transaction.
Enfin, la CNIL a constaté des défaillances dans l’information fournie aux utilisateurs concernant leurs droits. Le droit à l’effacement et le droit d’opposition n’étaient pas correctement présentés dans les mentions légales du site, et les procédures pour exercer ces droits manquaient de clarté. Ces manquements multiples ont constitué un faisceau d’infractions justifiant la sanction financière prononcée.
Le processus d’enquête et la décision de la CNIL
La procédure contre Spartoo a débuté par une série de contrôles effectués entre mai et octobre 2018. Ces investigations ont été menées dans le cadre des nouvelles prérogatives de la CNIL, renforcées par l’entrée en vigueur du RGPD le 25 mai 2018. La commission a d’abord réalisé un contrôle en ligne du site spartoo.com, puis a effectué une visite dans les locaux de l’entreprise à Grenoble, où elle a pu examiner les systèmes informatiques et les procédures internes.
Suite à ces contrôles, la CNIL a notifié à Spartoo les manquements constatés et a ouvert une procédure de sanction. L’instruction du dossier a duré plusieurs mois, durant lesquels l’entreprise a pu présenter ses observations et proposer des mesures correctives. La formation restreinte de la CNIL, organe chargé de prononcer les sanctions, s’est réunie en juillet 2020 pour statuer sur cette affaire.
Dans sa délibération, la CNIL a pris en compte plusieurs facteurs pour déterminer le montant de la sanction financière. Elle a notamment considéré la nature des manquements, leur durée, le nombre de personnes concernées (plusieurs millions de clients) et le modèle économique de l’entreprise. La commission a toutefois reconnu la coopération de Spartoo durant la procédure et les efforts entrepris pour se mettre en conformité après la notification des manquements.
La décision finale a été rendue le 28 juillet 2020, condamnant Spartoo à une amende administrative de 250 000 euros. Ce montant, quoique significatif, reste modéré comparé au plafond prévu par le RGPD, qui peut atteindre 4% du chiffre d’affaires mondial annuel. La CNIL a justifié cette proportionnalité par la taille moyenne de l’entreprise et par les mesures de mise en conformité déjà engagées. La décision a été rendue publique le 6 août 2020, marquant ainsi un précédent dans l’application du règlement européen par l’autorité française.
Les mesures correctrices imposées à Spartoo
Au-delà de la sanction financière, la CNIL a exigé que Spartoo mette en œuvre plusieurs mesures correctrices pour se conformer au RGPD. Concernant la conservation des données, l’entreprise a dû établir une politique de rétention stricte limitant à 5 ans maximum la conservation des données des clients inactifs, avec une purge automatique au-delà de cette période. Pour les clients actifs, Spartoo a été contrainte d’instaurer un système d’archivage intermédiaire après 3 ans d’inactivité, avec un accès restreint à ces données.
Pour l’enregistrement des appels téléphoniques, la commission a ordonné la cessation immédiate de cette pratique systématique. Désormais, Spartoo ne peut enregistrer les conversations qu’avec le consentement explicite des clients, recueilli en début d’appel, et uniquement pour des finalités précises comme la formation du personnel. La durée de conservation de ces enregistrements a été limitée à 6 mois maximum.
En matière de sécurité informatique, la CNIL a imposé le renforcement du chiffrement des mots de passe via l’utilisation d’algorithmes plus robustes et l’ajout de « sel » cryptographique pour prévenir les attaques par force brute. Pour les données bancaires, l’entreprise a dû mettre en place une suppression automatique des informations après la finalisation de la transaction, ou au plus tard après le délai légal de rétractation.
La mise en conformité impliquait aussi une refonte complète de la politique de confidentialité du site pour garantir une information claire et complète aux utilisateurs sur le traitement de leurs données et leurs droits. Cette nouvelle politique devait détailler précisément :
- Les finalités et bases légales des traitements de données
- Les procédures d’exercice des droits (accès, rectification, effacement, opposition)
La CNIL a accordé à Spartoo un délai de trois mois pour implémenter l’ensemble de ces mesures, avec obligation de fournir des preuves documentaires attestant de leur mise en œuvre effective. La société devait notamment produire des captures d’écran des modifications apportées aux systèmes informatiques, les nouvelles procédures internes et la formation dispensée aux employés sur ces questions.
Les répercussions sur le secteur e-commerce
La sanction infligée à Spartoo a envoyé un signal fort à l’ensemble du secteur du commerce électronique en France et en Europe. Cette décision a marqué une étape dans la mise en application concrète du RGPD, démontrant la détermination de la CNIL à faire respecter la réglementation, y compris auprès d’acteurs de taille moyenne. De nombreuses entreprises du secteur ont immédiatement lancé des audits internes pour évaluer leur propre conformité, craignant de faire l’objet de sanctions similaires.
L’affaire a mis en lumière des pratiques courantes dans le e-commerce mais problématiques au regard du RGPD, comme la conservation prolongée des données clients à des fins marketing ou le stockage des informations de paiement. Les fédérations professionnelles du secteur ont réagi en publiant des guides de bonnes pratiques et en organisant des formations pour leurs membres. La Fédération du E-commerce et de la Vente à Distance (FEVAD) a notamment renforcé son accompagnement sur les questions de protection des données.
Cette affaire a provoqué une prise de conscience chez les consommateurs, désormais plus attentifs à l’utilisation de leurs données personnelles. Des associations de consommateurs ont saisi l’occasion pour lancer des campagnes d’information sur les droits numériques et encourager les utilisateurs à exercer un contrôle plus strict sur leurs informations. Cette vigilance accrue a incité les acteurs du e-commerce à faire de la transparence un argument commercial, certaines enseignes mettant en avant leur conformité au RGPD comme gage de confiance.
Pour les investisseurs et actionnaires, cette sanction a révélé un nouveau risque financier lié au non-respect des règles de protection des données. Les due diligences lors d’acquisitions dans le secteur intègrent désormais systématiquement un volet RGPD, et les valorisations peuvent être affectées par des carences identifiées dans ce domaine. Les assureurs proposant des polices couvrant les risques cyber ont revu leurs conditions pour tenir compte de cette jurisprudence, avec des exigences renforcées en matière de conformité réglementaire.
Le tournant juridique dans l’application du RGPD en France
La décision Spartoo constitue un jalon jurisprudentiel majeur dans l’application du RGPD par la CNIL. Avant cette affaire, l’autorité française avait principalement prononcé des sanctions contre de grands groupes internationaux comme Google (50 millions d’euros) ou des organisations ayant subi des violations de données massives. Avec Spartoo, la CNIL a démontré sa volonté de sanctionner tous types d’acteurs économiques, quelle que soit leur taille, dès lors que les infractions touchent un nombre significatif de personnes.
Cette décision a précisé l’interprétation de plusieurs concepts clés du RGPD. Elle a notamment affiné la notion de « durée nécessaire » pour la conservation des données, établissant des références temporelles concrètes selon les finalités poursuivies. L’affaire a clarifiée les exigences en matière de consentement pour des traitements spécifiques comme l’enregistrement vocal, confirmant que celui-ci doit être libre, spécifique, éclairé et univoque.
Sur le plan procédural, cette affaire illustre l’approche graduée de la CNIL, qui a d’abord cherché à obtenir une mise en conformité volontaire avant d’engager la phase contentieuse. Elle montre que l’autorité prend en compte les efforts correctifs dans sa décision finale, tout en maintenant une fermeté sur les principes fondamentaux du règlement. Cette démarche équilibrée a été saluée par les juristes spécialisés, qui y voient un modèle d’application proportionnée du droit.
La sanction Spartoo a contribué à l’harmonisation européenne de l’application du RGPD. D’autres autorités nationales de protection des données se sont appuyées sur cette décision pour étayer leurs propres actions contre des infractions similaires. Cette convergence renforce la sécurité juridique pour les entreprises opérant dans plusieurs États membres, qui peuvent désormais anticiper plus clairement les attentes des régulateurs. La décision a consolidé le rôle de la CNIL comme une autorité de référence en Europe en matière d’interprétation et d’application du règlement.