Sanction de 250.000 euros pour plusieurs manquements au RGPD

La société SPARTOO est une société spécialisée dans la vente en ligne de chaussures qui exploite un site internet accessible dans treize pays de l’Union européenne.

Suite à des contrôles effectués en mai 2018, la CNIL a constaté plusieurs manquements concernant les données des clients, des prospects et des salariés :

• l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client a été jugé excessif et non justifié ;
• la collecte des données de la « carte de santé » des clients en Italie qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente ;
• absence de toute durée de conservation des données des clients et des prospects ;
• non-conformité des mentions d’information figurant sur la politique de confidentialité du site internet ;
• non-conformité des mentions d’information portant sur l’enregistrement des appels passés par les salariés du service client ;
• faiblesse de la politique de mot de passe de la société ;
• conservation en clair des numérisations des cartes bancaires des clients utilisées lors des commandes.

Ces manquements portant pour la plupart atteinte à des obligations qui existaient déjà avant l’entrée en application du RGPD, la CNIL a ainsi prononcé une amende de 250 000 euros et a enjoint à la société SPARTOO de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de 3 mois, sous astreinte de 250 euros par jour de retard.