Spartoo se prend les pieds dans le tapis du RGPD, la CNIL sanctionne

250.000 EUROS
Spartoo sanctionné à une amende de 250.000 euros par la CNIL.

Après un contrôle en mai 2018, la CNIL constate de nombreux manquements concernant la protection des données des clients ainsi que celles des salariés, sur le site de vente de chaussures en ligne, Spartoo. 

Spartoo sanctionné pour avoir mal protégé les données de ses clients

La Commission nationale de l'informatique et des libertés (CNIL) a annoncé le 6 août 2020 dans un communiqué avoir lourdement sanctionné le site de vente en ligne Spartoo. La commission a estimé que la société avait manqué à plusieurs obligations prévues par le Règlement général sur la protection des données (RGPD). Plusieurs manquements ont été montrés du doigt par l’institution, comme ceux aux principes de minimisation des données et à la limitation de la durée de conservation des données. Selon la CNIL, Spartoo « n’effaçait pas régulièrement les données personnelles et ne les archivait pas ». Depuis, la société a mis en place une durée de conservation des données des clients d’une durée de cinq ans à compter de leur dernière activité. La CNIL a précisé que « la conservation des données des prospects (des clients potentiels) n’était pas nécessaire au-delà de ce délai de deux ans ».

L’enregistrement et la conservation des coordonnées bancaires posent également problème. Spartoo collectait ces données sans consentement explicite et éclairé des clients. « Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients », constate la CNIL.

CNIL : une amende de 250.000 euros pour Spartoo 

Autre manquement signalé : celui de l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client, que la Cnil estime « pas justifié » et « excessif ». De plus, les salariés ne sont pas informés de la durée de conservation des données, des destinataires des données ainsi de leurs droits.

Ainsi, une amende de 250.000 euros a été prononcée à l'encontre du site de vente en ligne. Le montant de cette sanction s’explique par la quantité de données qui auraient été conservée de façon très peu sécurisée, soit près de 3 millions de clients et 25 millions de prospects. Spartoo dispose désormais de trois mois à compter du 4 août pour revoir sa politique d’information et sécuriser correctement les données, sous astreinte de 250 euros par jour de retard.


A découvrir