Spartoo écope d’une amende pour avoir laissé votre numéro de carte bancaire à la merci des pirates

 

La CNIL a épinglé Spartoo. Selon la commission, le site de vente en ligne ne respecte pas les règles de la RGPD sur les données personnelles des clients. Notamment, il conserve les données bancaires de façon non sécurisée et sur une trop longue période. Spartoo devra payer une amende de 250 000 euros et se mettre en conformité.

spartoo condamne par la cnil

Spartoo est un site marchand relativement connu en France. La société éponyme qui gère le site a financé des campagnes de publicité, notamment à la radio, pour accroitre radicalement sa notoriété. Présente dans de nombreux pays, l’entreprise a fait l’objet de nombreux articles en 2018, à l’occasion de la reprise de la marque André (laquelle s’est avérée très compliquée).

Lire aussi – Doctissimo : une plainte auprès de la CNIL accuse le site de collecter vos données personnelles

Cette semaine, le site marchand refait parler de lui, mais pas de la meilleure des manières. La CNIL annonce en effet mercredi 5 août avoir condamné Spartoo pour plusieurs manquements à la RGPD, cet ensemble de règles qui définissent la façon dont les entreprises doivent gérer les données sensibles de leurs clients dans toute l’Europe. L’entreprise doit payer une amende de 250 000 euros et se mettre en conformité avec la RGPD sous 3 mois avec une astreinte de 250 euros par jour.

Trop de données conservées

Qu’est-ce qui est reproché exactement à Spartoo ? Quatre manquements ont été relevés par la CNIL lors d’une inspection réalisée en mai 2018 qui a donné suite à une procédure de sanction en 2019. D’abord un manquement au principe de minimisation. L’entreprise conservait l’intégralité des appels téléphoniques reçus par son service client, ainsi que l’ensemble des coordonnées bancaires des clients qui ont réalisé une commande par téléphone.

Deuxième reproche : un manquement à l’obligation de limitation de la durée de conservation des données. Spartoo conservait les données de clients inactifs depuis plus de cinq ans (soit 3 millions de comptes concernés). Les données de connexion (adresse email et mot de passe) des clients sont conservées au-delà des cinq ans sous une forme non anonymisée. La conservation des données collectées pour les campagnes de prospection est également trop longue : 5 ans, alors que Spartoo n’adresse aucun mail commercial à un prospect inactif depuis 2 ans.

Des données bancaires sans protection

Troisième reproche : un manquement à la sécurisation des données. Spartoo conserverait pendant 6 mois tous les numéros de cartes bancaires utilisés lors d’une commande, et ce sans aucune forme de cryptage. Les numéros étaient en clair dans la base de données. En outre, les mots de passe demandés par Spartoo lors de la création d’un compte ne sont pas assez robustes. Enfin, dernier reproche de la CNIL : un manquement à l’obligation d’information. La politique de confidentialité, publiée sur le site marchand, n’est pas conforme à la RGPD.

Concernant la conservation des données bancaires, le risque n'est pas anodin. Rappelons qu'un réseau de piratage de sites marchands a été récemment mis en lumière. Il concerne 570 sites piratés ces 3 dernières années, et 25 sont Français.

Source : CNIL



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
yggtorrent
YggTorrent : le site pirate de téléchargement est en panne

Rien ne va plus du côté du site de téléchargement YggTorrent. Celui qui recense des dizaines de milliers de téléchargements, le plus souvent illégaux, est en panne depuis quelques heures. À moins que la panne ne soit finalement qu’une simple…

duckduckgo
DuckDuckGo bat un nouveau record et profite du scandale WhatsApp

100 millions de requêtes quotidiennes pour DuckDuckGo, un record pour le moteur de recherche respectueux de la vie privée qui a de plus en plus la cote. En pleine affaire WhatsApp, le moteur profite surtout de l’inquiétude des internautes à…

wifi 6
WiFi 6, WiFi 6E : qu’est ce que c’est et à quoi ça sert ?

Le WiFi 6 commence peu à peu à s’imposer comme le standard des connexions sans fil. Mais à quoi correspond cette appellation exactement et à quoi correspond le WiFi 6E dont on parle également ? On vous propose d’en apprendre…

pornhub accusé vidéos pédopornographiques
Pornhub n’accepte désormais que les paiements en cryptomonnaies

Pornhub n’acceptera désormais que les paiements réalisés en cryptomonnaies. Privé de Mastercard, Visa et PayPal, le site pornographique invite désormais les internautes à se tourner vers le Bitcoin, Monero ou l’Ethereum pour payer leurs abonnements Premium.  Il y a quelques jours, une…