Accueil
Le quotidien du droit en ligne
-A+A
Article

Condamnation de Spartoo : quelle mise en conformité pour un e-commerce ?

Condamnant la société Spartoo pour manquement aux principes de minimisation et de limitation de la durée de conservation des données, ainsi qu’aux obligations d’information et de sécurité, la CNIL revient sur les bonnes pratiques à adopter pour une activité de commerce en ligne.

par Cécile Crichtonle 11 septembre 2020

La décision de sanction prononcée par la Commission nationale de l’informatique et des libertés (CNIL) – amende d’un montant de 250 000 € assortie d’une injonction de se mettre en conformité sous astreinte – résulte d’un processus de coordination entre autorités de contrôle inédit. À l’issue d’un contrôle de la société Spartoo, la CNIL s’est déclarée chef de file et en a informé les autres autorités de contrôle. Conformément à l’article 56 du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD »), une autorité étatique telle que la CNIL peut agir en tant qu’autorité chef de file lorsque l’établissement principal ou l’établissement unique du responsable de traitement est localisé sur son territoire. Lorsqu’aucune objection n’a été formulée par les autres autorités concernées vis-à-vis du projet de décision, la décision de l’autorité chef de file vaut pour tous les traitements transfrontières effectués par le responsable de traitement (RGPD, art. 60).

Dans le cadre de l’instruction du dossier Spartoo, le projet de décision a fait l’objet d’objections de la part des autorités de contrôle italienne, portugaise et de Basse-Saxe, qui ont été prises en compte par la CNIL. Après révision et nouvelle soumission aux autorités de contrôle – cette fois-ci sans observations –, la CNIL a prononcé le 28 juillet 2020 une sanction à l’encontre de la société. Les manquements au RGPD constatés nous informent sur la manière d’exploiter un site de commerce en ligne en conformité au RGPD.

Sur le manquement au principe de minimisation des données (RGPD, art. 5, § 1, c)

L’enregistrement systématique des conversations entre salariés du service client et les clients n’apparaît pas nécessaire au regard de la finalité consistant à assurer la formation des salariés. Son caractère particulièrement intrusif implique effectivement que ces enregistrements soient limités à ce qui est nécessaire. En outre, lors de ces appels adressés au service client et dans le cadre d’un paiement, les coordonnées bancaires des clients sont enregistrées à l’occasion de l’évaluation des salariés. Selon la CNIL, un tel traitement n’est pas nécessaire au regard des finalités poursuivies compte tenu de la nature des coordonnées bancaires qui « doivent faire l’objet d’une protection renforcée », ce peu important que la société ne conservât les enregistrements qu’une seule journée.

De la même manière, n’est pas nécessaire la conservation des justificatifs d’identité et de domicile, voire un scan de la carte bancaire, afin de s’assurer ponctuellement de l’identité des clients dans le cadre de la lutte contre la fraude. En pratique, expose la CNIL, le justificatif d’identité (ex. copie de la carte d’identité) peut suffire à « constituer un justificatif pertinent dans le cadre de la lutte contre la fraude ». Particulièrement en Italie, est excessive la demande d’un justificatif d’identité constitué par la carte de santé et la carte d’identité, dans la mesure où la carte de santé dévoile un nombre important d’informations sur la personne qui ne sont pas nécessaires.

Sur le manquement au principe de limitation de durée de conservation (RGPD, art. 5, § 1, e)

Estimant qu’une conservation des données des prospects d’une durée maximale de deux ans est proportionnée, la CNIL constate que la société conservait l’intégralité des données de ses anciens clients à des fins de prospect, alors que beaucoup d’entre eux sont inactifs depuis au moins 2008. Le moyen tendant à ce que seule la responsable juridique ait accès aux données est inopérant, « la durée de conservation étant indépendante de l’accès ».

En outre, le point de départ du délai de conservation des données ne peut avoir lieu au jour de la dernière ouverture par le client d’un mail de prospection. En effet, expose la CNIL, « lorsque le point de départ du délai de conservation des données est le dernier contact émanant du prospect, il doit s’agir d’un événement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel », ce qui n’est pas le cas pour la simple ouverture d’un courriel qui peut se faire involontairement.

Enfin, alors que les données des anciens clients sont supprimées au bout d’une période d’inactivité, les adresses électroniques sont hachées et conservées indéfiniment, excédant là encore la durée nécessaire et proportionnée. En effet, le hash n’est pas synonyme d’anonymisation, mais de pseudonymisation, ce qui permet de réidentifier des personnes et, par extension, viole le principe de limitation de la durée de conservation.

Sur le manquement à l’obligation d’information (RGPD, art. 13)

L’information des clients n’a pas été clairement délivrée en ce qu’elle ne mentionne pas le lieu du transfert international de données ni la finalité de certains traitements. Alors que la société fondait exclusivement la base légale du traitement sur le consentement des personnes, la CNIL a relevé que certaines finalités reposent sur le contrat ou l’intérêt légitime des personnes, à l’instar du traitement mis en œuvre dans le cadre de la lutte contre la fraude, ce qui nécessite une information supplémentaire.

L’information des salariés n’est pas non plus correctement délivrée concernant le dispositif d’enregistrement permanent de leurs conversations téléphoniques. L’information était en l’espèce délivrée à partir d’une poignée de documents : un document de 2014, une « attestation de présence information » de 2016, et une fiche d’évaluation de performance de 2017. À titre d’exemple, l’attestation de 2016 expose simplement que les salariés « ont compris le but de ces écoutes et qu’ils peuvent contacter le service juridique pour des informations complémentaires ». Une telle pratique méconnaît, d’une part, l’exigence d’une information aisément accessible, facile à comprendre et formulée en des termes clairs et simples (RGPD, consid. 39) et, d’autre part, l’exigence d’une information préalable au traitement (C. trav., art. L. 1222-4).

Sur le manquement à l’obligation de sécurité (RGPD, art. 32)

Un mot de passe de six caractères minimum et comportant une seule catégorie de caractères n’est pas suffisamment long ni complexe pour assurer la sécurité des personnes. En cas de suspicion de fraude, la demande d’un scan de la carte de paiement des clients, dont le code n’est parfois pas tronqué, et conservé en clair pendant six mois, ne permet pas non plus de garantir la sécurité des personnes.