La societe SPARTOO condamnée a 250.000 euros par la CNIL
La société SPARTOO, e-commerçant spécialisé dans la vente en ligne de chaussures, disposant de 16 sites web accessibles dans 13 pays différents de l’Union européenne, s’est vu condamnée par la CNIL à une amende de 250.000 euros sous astreinte de se conformer au RGPD.
Pour fixer le montant de cette amende, la CNIL a pris en compte les fautes commises par la société SPARTOO ainsi que le nombre de personne concernées (plus de 3 millions d’anciens clients et plus de 25 millions de prospects).
Quelles sont les fautes de la société SPARTOO et quels sont leurs fondements ?
L’absence de durée de conservation des données à caractère personnel
L’article 5 du RGPD relatif aux « Principes relatifs au traitement des données à caractère personnel » dispose :
« 1. Les données à caractère personnel doivent être : […]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) […]
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
Aussi, au regard de cet article il est nécessaire de prévoir une durée de conservation maximum de chaque donnée personnelle collectée et/ou traitée. A ce titre, la CNIL reproche à SPARTOO de n’avoir initialement prévu aucune durée de conservation quant aux données personnelles traitées, et d’avoir, par la suite, opté pour des durées de conservation trop longues.
Pour se mettre en conformité avec cette règlementation, notre cabinet vous proposer de réaliser un registre des traitements reprenant l’ensemble des postes de traitement de données à caractère personnel et attribuant à chacune d’entre elles une durée de conservation approuvée par la CNIL.
L’insuffisante information des personnes
L’article 13 du RGPD édicte une liste de l’ensemble des informations qu’un responsable de traitement doit fournir aux personnes dont les données sont collectées.
Au regard de ces éléments, la politique de confidentialité de SPARTOO a été déclarée non conforme.
Cette condamnation est donc la preuve qu’il est indispensable pour toute entreprise exerçant son activité en ligne de disposer d’une politique de protection des données et de documents relatifs à l’information des utilisateurs du site à jour et réalisée par un professionnel spécialisé.
Manquement en matière de sécurité des données à caractère personnel
L’article 32 du RGPD met à la charge du responsable de traitement et des éventuels sous-traitants l’obligation d’assurer la sécurité des données à caractère personnel traitées.
Cette sécurité passe notamment par la sécurisation des connexions des utilisateurs de site internet.
Dans ce sens, il est reproché à la société SPARTOO de ne pas avoir posé des critères relatifs à la création des mots de passe permettant de rendre ces derniers plus robustes.