La CNIL a épinglé Spartoo. Selon la commission, le site de vente en ligne ne respecte pas les règles de la RGPD sur les données personnelles des clients. Notamment, il conserve les données bancaires de façon non sécurisée et sur une trop longue période. Spartoo devra payer une amende de 250 000 euros et se mettre en conformité.

Spartoo est un site marchand relativement connu en France. La société éponyme qui gère le site a financé des campagnes de publicité, notamment à la radio, pour accroitre radicalement sa notoriété. Présente dans de nombreux pays, l’entreprise a fait l’objet de nombreux articles en 2018, à l’occasion de la reprise de la marque André (laquelle s’est avérée très compliquée).

Lire aussi – Doctissimo : une plainte auprès de la CNIL accuse le site de collecter vos données personnelles

Cette semaine, le site marchand refait parler de lui, mais pas de la meilleure des manières. La CNIL annonce en effet mercredi 5 août avoir condamné Spartoo pour plusieurs manquements à la RGPD, cet ensemble de règles qui définissent la façon dont les entreprises doivent gérer les données sensibles de leurs clients dans toute l’Europe. L’entreprise doit payer une amende de 250 000 euros et se mettre en conformité avec la RGPD sous 3 mois avec une astreinte de 250 euros par jour.

Trop de données conservées

Qu’est-ce qui est reproché exactement à Spartoo ? Quatre manquements ont été relevés par la CNIL lors d’une inspection réalisée en mai 2018 qui a donné suite à une procédure de sanction en 2019. D’abord un manquement au principe de minimisation. L’entreprise conservait l’intégralité des appels téléphoniques reçus par son service client, ainsi que l’ensemble des coordonnées bancaires des clients qui ont réalisé une commande par téléphone.

Deuxième reproche : un manquement à l’obligation de limitation de la durée de conservation des données. Spartoo conservait les données de clients inactifs depuis plus de cinq ans (soit 3 millions de comptes concernés). Les données de connexion (adresse email et mot de passe) des clients sont conservées au-delà des cinq ans sous une forme non anonymisée. La conservation des données collectées pour les campagnes de prospection est également trop longue : 5 ans, alors que Spartoo n’adresse aucun mail commercial à un prospect inactif depuis 2 ans.

Des données bancaires sans protection

Troisième reproche : un manquement à la sécurisation des données. Spartoo conserverait pendant 6 mois tous les numéros de cartes bancaires utilisés lors d’une commande, et ce sans aucune forme de cryptage. Les numéros étaient en clair dans la base de données. En outre, les mots de passe demandés par Spartoo lors de la création d’un compte ne sont pas assez robustes. Enfin, dernier reproche de la CNIL : un manquement à l’obligation d’information. La politique de confidentialité, publiée sur le site marchand, n’est pas conforme à la RGPD.

Concernant la conservation des données bancaires, le risque n'est pas anodin. Rappelons qu'un réseau de piratage de sites marchands a été récemment mis en lumière. Il concerne 570 sites piratés ces 3 dernières années, et 25 sont Français.

Source : CNIL