L’enseigne notoire de vente de chaussures en ligne s’est vue reprocher plusieurs violations du Règlement Général sur la Protection des Données personnelles (RGPD) et de la Loi Informatique et Libertés de 1978. La Commission lui inflige donc une sanction de 250.000 euros, avec une injonction sous astreinte de se mettre en conformité avec le RGPD dans un délai de trois mois à compter de la délibération.

Pour rappel, la société Spartoo avait eu la visite des agents de la CNIL en Mai 2018 (mois au cours duquel le RGPD devenait pleinement applicable). Le contrôle portait sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société.

Dans le cadre de ce contrôle, il avait été constaté que le client ou prospect de Spartoo pouvait s’opposer à l’enregistrement des appels téléphoniques en appuyant sur une touche de son téléphone. Toutefois, malgré cette opposition, les paroles des salariés étaient malgré tout enregistrées, organisant une surveillance constante. Alors que la voix est une donnée personnelle, la CNIL a considéré que cette politique allait bien au-delà de la finalité dévolue à ce traitement, à savoir l’évaluation et la formation des salariés. Il est établi de longue date, indépendamment du RGPD, que la captation de la voix des salariés à des fins de formation et d’évaluation professionnelle, ne doit se faire que par « échantillons », à l’exclusion stricte de toute captation permanente ou exhaustive, qui s’apparente alors à un contrôle d’activité du salarié. La Présidente de la CNIL avait donc décidé d’engager une procédure de sanction à l’encontre de Spartoo en 2019.

Il est important de signaler que la CNIL a agi ici en tant « qu’autorité chef de file », après concertation avec plusieurs autorités de contrôle européennes compte tenu des implantations nationales de Spartoo et de l’ampleur européenne des contrôles effectués.

Dans sa délibération rendue le 28 Juillet 2020, la CNIL reproche finalement à la société Spartoo de nombreux autres manquements au RGPD, et la décision constitue un cas d’école de ce qu’il convient d’éviter lorsqu’on manipule les données personnelles des clients ou prospects de l’entreprise, mais aussi celles de ses salariés.

1) Tout d’abord, la CNIL a sanctionné de nombreux manquements à l’exigence de minimisation des données collectées, sur la base de l’article 5, I, c) du RGPD.

Ainsi, au sujet de l’enregistrement des conversations téléphoniques aux fins de formation des salariés, la CNIL sanctionne au motif que « L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié ».

Ensuite, la Commission a constaté que Spartoo procédait aussi à l’enregistrement et la conservation des données bancaires des clients dans le cadre de l’enregistrement des conversations téléphoniques, alors qu’une telle donnée n’était évidemment d’aucune nécessité avec  la finalité de l’enregistrement, qui était la formation des salariés. Ni nécessaire, ni pertinent, ce traitement portait en outre sur une donnée qui peut exposer le client à un risque certain en cas de fuite. Un premier manquement à l’obligation de minimisation des données était donc avéré.

Enfin sur ce chapitre, la CNIL a sanctionné la pratique de Spartoo qui, en Italie, collectait copie de la « carte de santé » des clients pour une finalité de lutte contre la fraude. Là encore, Spartoo manquait gravement à son obligation de minimisation des données puisque comme l’écrit la CNIL, « La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente ». Il suffit d’imaginer ici un e-commerçant qui collecte la carte vitale de ses clients pour lutter contre la fraude, pour se figurer l’ampleur du manquement en question…

2) Par ailleurs, la CNIL a également sanctionné le manquement de Spartoo à la limitation de la durée de conservation des données, sur la base de l’article 5, I, e) du RGPD.

L’enseigne a par ailleurs manqué à son obligation de limitation de conservation des données. En effet, la durée de conservation des données des clients fixée à 5 ans par Spartoo après le contrôle de la CNIL (cette limitation étant inexistante avant ledit contrôle) a cependant été jugée excessive. A cet égard, la CNIL a constaté en effet que « la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans ». On rappelle ici qu’une durée de conservation ne peut pas être fixée arbitrairement : elle doit, comme tout choix effectué par le responsable de traitement, être justifiée au regard de la nature des données, des traitements effectuée et de la finalité poursuivie.

De plus, Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ. Cette précision est très importante, et doit être analysée de près par toutes les entreprises qui pratiquent la prospection commerciale par voie électronique. En effet, par héritage de l’ancienne norme simplifiée 48, on considère généralement que les données d’anciens clients (qui sont donc redevenus des prospects) ne peuvent être conservées que pendant une durée limitée, souvent 3 ans, à partir du « dernier contact positif » de la personne concernée.

On a ici un éclairage supplémentaire sur ce que doit être ce « dernier contact positif » de la personne : il doit s’agir d’une démarche active de sa part, qui témoigne de sa volonté de rester en contact avec le responsable de traitement, et non pas la simple ouverture d’un email de prospection, dont la CNIL estime qu’elle n’est pas suffisamment significative. Le « dernier contact positif » n’est donc évidemment pas la simple ouverture d’un email de prospection, mais bien la réponse envoyée par la personne concernée, ou une correspondance spontanément envoyée par celle-ci. A défaut, le délai continue de courir et les données devront être supprimées à son expiration.

Pire encore : à l’expiration de ce délai, Spartoo conservait néanmoins l’adresse électronique des clients ainsi que leurs mots de passe, sous une forme seulement pseudonymisée, et non pas définitivement anonymisée, afin de permettre à ceux-ci de « réactiver leur compte » à l’instar de ce que pratiquent les réseaux sociaux comme Facebook. Ce faisant, Spartoo conservait donc bien les données personnelles, bien que pseudonymisées, au-delà de la période (de toute façon trop longue) de 5 ans qu’elle avait définie…

3) En outre, la CNIL a également sanctionné un double manquement de Spartoo à son obligation d’information des personnes concernées, sur la base de l’article 13 du RGPD.

D’une part, Spartoo indiquait apparemment aux visiteurs de son site web qu’elle collectait toutes leurs données sur la base de leur consentement, pour tous les traitements qu’elle en faisait, « alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société ». On constate ici la légèreté avec laquelle le responsable de traitement avaiot réfléchi aux bases légales l’autorisant à collecter les données des internautes.. D’autre part, Spartoo manquait également à son obligation d’information précise de ses salariés, puisque  les nouveaux salariés n’étaient pas informés que leur voix était enregistrée dans le cadre de leurs correspondances téléphoniques. Plus précisément, la CNIL reproche à Spartoo le fait que ses « salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits ».

C’est ici l’occasion de rappeler que les notices d’information des salariés doivent être précises, et soigneusement indiquer aux salariés chaque finalité poursuivie, chaque base légale justifiant les traitements correspondants, et les catégories de données personnelles concernées, ainsi que les droits dont ils disposent sur leurs données et les moyens organisationnels leur permettant de les faire valoir.

4) Enfin, la CNIL a également sanctionné un manquement de Spartoo à son obligation de sécurité des données personnelles collectées, sur la base de l’article 32 du RGPD.

En l’occurrence, les mesures prises par Spartoo, notamment les « mesures de blocage d’une minute du compte après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute », ainsi que la modification de la longueur du mot de passe portée à 8 caractères, n’ont pas été jugées par la CNIL comme garantissant un moyen efficace de sécurisation des données.

Selon la CNIL, « La robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que la société ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ». Là encore, Spartoo a fait preuve d’une légèreté coupable en déployant ses mesures techniques et organisationnelles, ici de sécurité, en ne se référant pas, a minima à l’état de l’art en matière de robustesse des mots de passe.

De plus, il est apparu que Spartoo conservait les données des cartes bancaires utilisées par les clients pour leurs commandes, en clair pendant une durée de 6 mois, ce qui est une durée trop longue, et un risque trop grand, au regard de la finalité poursuivie (lutte contre la fraude). Cette finalité, par ailleurs aisément acceptable, donnait en effet lieu à une conservation excessive et insuffisamment sécurisée, et exposait donc les personnes concernées à des risques que la seule lutte contre la fraude ne permettait pas de justifier.

Compte tenu de la gravité de ces nombreux manquements existant déjà avant l’entrée en vigueur du RGPD, ainsi que du nombre considérable de données conservées dans une durée excessive, la CNIL condamne la société Spartoo au paiement d’une amende de 250.000 euros, et l’enjoint de se conformer aux obligations du RGPD dans un délai de trois mois à compter de la délibération, et ce, sous astreinte de 250 euros par jour de retard à l’issue de ce délai.

En outre, la Commission décide de publier la délibération, afin qu’elle serve d’exemple. Il est capital que les entreprises comprennent bien l’ensemble des exigences du RGPD, notamment dans la détermination des bases légales, dans la détermination des durées de conservation, dans le choix des mesures de sécurité, et dans le détail de l’information due aux personnes concernées. En mai 2018, Spartoo avait bénéficié, comme toute organisation, d’un délai de 2 ans pour bien comprendre ses obligations et se mettre en conformité. La sanction est donc largement justifiée.