Données personnelles : Le site d’e-commerce Spartoo condamné à une amende de 250.000 euros

RGPD Selon la Cnil, Spartoo n’a pas respecté ses obligations d’information des clients et employés, mais aussi de sécurisation, minimisation et durée de conservation des données

20 Minutes avec agence

— 

Carte bancaire. Illustration.
Carte bancaire. Illustration. — MASTERSENAIPER/PIXABAY

La Commission nationale de l’informatique et des libertés (Cnil) a condamné ce mercredi le site d’ e-commerce Spartoo à une amende de 250.000 euros. L’autorité a jugé que l’entreprise n’avait pas respecté plusieurs articles du règlement général sur la protection des données (RGPD).

Sur son site, la Cnil indique qu’il s’agit là de « sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes ». La plateforme Spartoo est disponible dans 13 Etats de l’UE et les « clients et prospects de la société » sont répartis sur plusieurs pays. L’enquête a donc été faite conjointement avec des autorités étrangères depuis mai 2018.

De très nombreux manquements au RGPD

Les investigations ont mis en évidence des manquements concernant la minimisation des données personnelles. Spartoo enregistrait plus de conversations téléphoniques et de données bancaires que nécessaires. La durée de conservation des informations, n’a pas non plus été respectée. La Cnil a par ailleurs constaté que « l’information fournie dans la politique de confidentialité des données du site Web n’est pas conforme » au RGPD.

De plus, les employés n’étaient pas suffisamment informés des modalités d’enregistrement de leurs échanges téléphoniques avec les clients. Spartoo a aussi manqué à son obligation de sécurisation des données. Les mots de passe requis n’étaient pas assez complexes et les mesures antifraude à la carte bancaire pas assez strictes, a estimé la commission.