Passer au contenu

Un e-commerce français se fait épingler sur sa gestion des données personnelles

Le site de vente en ligne en question ne respectait pas les normes RGPD, relatives à la protection des données personnelles.

Première sanction d’envergure en France depuis que le règlement général sur la protection des données (RGPD) est entré en vigueur depuis le 25 mai 2018. La Commission nationale de l’informatique et des libertés (CNIL) vient d’annoncer avoir délivré une amende d’une somme de 250 000 euros au site de vente en ligne de chaussures Spartoo.

Dans un communiqué, l’agence publique explique avoir enquêté sur la société depuis 2018, et s’est concertée avec les autres autorités européennes pour prendre une décision. Dans le détail, la CNIL a indiqué les différents points auxquels le site e-commerçant ne respectait pas le règlement.

La CNIL « a constaté des manquements concernant les données des clients, des prospects et des salariés ». En substance, un pan entier concernant l’enregistrement des données des cartes bancaires des clients a donné à la Commission française l’obligation de gérer l’affaire avec ses pays voisins. Bien que basé à Grenoble, la société en question possède une activité à l’échelle européenne.

Protection et conservation des données

Les principaux faits reprochés à Spartoo concernent la conservation de différentes données personnelles sur des périodes dépassant les six mois, autorisées par le règlement européen. Sur ce point, il est noté que l’e-commerce stockait notamment les coordonnées des cartes bancaires « communiquées lorsque les commandes sont passées par téléphone ».

Du côté des salariés, il est reproché un enregistrement excessif des appels téléphoniques du service client. De son enquête, la CNIL révèle avoir découvert que l’intégralité de ces appels était enregistrée et stockée. Une conduite injustifiée « car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié ».

Du fait d’un stockage excessif sur la durée, la CNIL pointe du doigt les potentielles conséquences pour les clients et les salariés pour la sécurité. Mais dans ses recherches, un point paraissant plus anodin mais dont l’enjeu est aussi grand a contribué à la sanction : l’absence d’imposition de mots de passe « plus robustes » lors de la création des profils d’utilisateurs.

Une amende et une information publique

Sur Twitter, Spartoo a expliqué avoir pris en compte de la décision de la CNIL. Ils ont maintenant trois mois pour se mettre en conformité, et chaque jour, une astreinte de 250 euros de pénalité de retard est infligée. Par-dessus l’enjeu financier, Spartoo est également impacté par la couverture publique de sa mauvaise conduite.

En revanche, ce n’est pas la première fois qu’un site français est pointé du doigt par la commission. Il y a un mois, la gigantesque plateforme Doctissimo était dans le viseur de la CNIL, alors que plusieurs infractions avaient été constatée par l’ONG Privacy International. En revanche, pour l’activité de Spartoo (dans 13 pays de l’UE), la décision à l’échelle européenne est une première.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
Cliquer pour commenter
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *