La CNIL inflige 250 000 euros de sanction à l’encontre de Spartoo. L’enseigne de vente de chaussures se voit reprocher plusieurs violations du règlement général sur la protection des données personnelles et de la loi de 1978. L’autorité l’enjoint de se remettre dans les clous des textes dans les trois mois. Sous astreintes.
Le site, installé à Grenoble, avait eu la visite des agents de la CNIL pas plus tard que le 31 mai 2018, soit 6 jours après l’entrée en application du règlement européen. « Le contrôle a porté plus particulièrement sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société » explique l’autorité dans sa délibération.
Après instruction, plusieurs indélicatesses ont été épinglées. La délégation dépêchée sur place « a constaté que dans le cadre de l’enregistrement des conversations téléphoniques passées entre les conseillers clientèles et les clients, les personnes appelant la société pouvaient s’opposer à l’enregistrement des appels téléphoniques en appuyant sur une touche de leur téléphone ».
Quand le client ne disait rien, l’intégralité des échanges vocaux faisait l’objet d’un enregistrement. Quand il s’y opposait, les paroles des salariés étaient malgré tout enregistrées, organisant une surveillance constante. Alors que la voix est une donnée personnelle, la CNIL a considéré que cette politique allait bien au-delà de la finalité dévolue à ce traitement, à savoir l’évaluation et la formation des salariés.
Un dispositif particulièrement intrusif
« Un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés » explique la CNIL.
Autre souci, au moins jusqu’au 19 juin 2019, Spartoo a « enregistré à l’occasion de l’enregistrement des conversations des salariés à des fins de formation, les coordonnées bancaires des clients qui passaient des commandes par téléphone et conservé de telles données dans sa base, en clair, pendant quinze jours ».
En face, l’entreprise a eu du mal à convaincre l’autorité lorsqu’elle a précisé que « la mise en place d’une mesure permettant d’interrompre un enregistrement lors de la communication des coordonnées bancaires d’un client demanderait le développement d’outils techniques complexes et ferait peser un coût financier et humain particulièrement lourd ».
Un manquement à la minimisation des données
D’autres manquements au principe de minimisation des données ont été mis à l’index. Spartoo « conservait les données de 118 768 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2008, celles de 682 164 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2010 et les données de 3 620 401 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2013 ».
Et pour les prospects, la durée de conservation choisie a été fixée à cinq ans, après le premier contrôle, alors qu’auparavant, aucune limite n’était fixée.
Par exemple, « la société conservait en juin 2018, s’agissant des différents pays de l’Union européenne dans lesquels la société exerce son activité et du Royaume-Uni, les données de plus de 25 millions de prospects n’ayant eu aucune activité depuis le 25 mai 2015, soit depuis plus de trois ans ».
En tout état de cause, la durée de cinq ans elle-même a été considérée comme excessive, alors que Spartoo a indiqué à la CNIL « qu’elle n’envoie des messages promouvant ses produits ou contenant des offres commerciales à ses prospects que pendant une période de deux ans ».
Quand la simple ouverture d’un mail relance le délai de conservation
La détermination du point de départ de cette durée de conservation a également fait tiquer le gendarme des données personnelles. Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ. Une manière un peu trop astucieuse pour « conserver de telles données alors même que les prospects n’ont pas démontré, par un acte clair, un intérêt pour les produits ou services de la société pendant plusieurs années ».
À l’extrémité, à l’expiration de ce délai, Spartoo ne supprimait pas l’intégralité des données conservées. Elle conservait « l’adresse électronique des clients ainsi que leurs mots de passe, sous une forme pseudonymisée, ce qui ne permettrait pas de respecter le principe de limitation de conservation des données », réagit la CNIL.
La société a vainement soutenu que « l’anonymisation des adresses électroniques des anciens clients est effectuée à partir d’un procédé fondé sur une technologie SHA-256 et que le décryptage des données hachées avec cette fonction requiert des compétences techniques très pointues ». Elle a soutenu « que les données des clients inactifs sont indécryptables et donc anonymes ».
La formation restreinte de la CNIL lui a répondu « que les données de ses anciens clients, même hachées, ne sont pas anonymisées, mais pseudonymisées, et permettraient de réidentifier les personnes ». En conséquence, elle lui reproche de conserver « les données en cause pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Manquement au droit à l’information des personnes, salariés compris
Alors que le RGPD exige que la base légale des traitements soit claire et précise, Spartoo indiquait dans sa politique de confidentialité qu’elle fait reposer ces opérations sur le seul consentement des personnes physiques. Or, en réalité, d’autres justifications ont été apportées par la société, comme la lutte contre la fraude ou le contrat. Informations qui auraient dû être précisées sur chacun des traitements. Jusqu’au 18 novembre 2019, par ailleurs, l’enseigne française ne précisait pas que les données glanées lors des appels téléphoniques étaient transférées à Madagascar.
Autre problème, les nouveaux salariés n’étaient pas nécessairement informés que leur voix était enregistrée. Quand l’information était diffusée, « les documents produits par la société ne permettent pas de fournir aux salariés une information relative aux finalités poursuivies par le traitement, à la base légale du dispositif, aux destinataires des données issues du dispositif, à la durée de conservation des données, à leurs droits notamment d’accès aux données les concernant ainsi qu’à la possibilité d’introduire une réclamation auprès de la CNIL ».
Manquement à la sécurisation des données
Le 31 mai 2018, la délégation de la CNIL notait que les personnes « souhaitant créer un compte utilisateur sur le site web de la société pouvaient créer un mot de passe composé de six caractères comportant une seule catégorie de caractère ».
Auditionnée le 19 juin 2019, Spartoo a relevé que, depuis le contrôle de la CNIL, « une mesure de blocage d’une minute du compte a été mise en place, après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute ». Par ailleurs, la longueur du mot de passe a été portée à huit caractères.
Des mesures trop simples pour la commission. « La robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que la société ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ».
La CNIL exige de son côté au minimum douze caractères « contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial », voire au moins huit caractères mais avec cette fois « trois de ces quatre catégories de caractères ». Et dans un tel cas, encore faut-il que le mot de passe soit accompagné d'une mesures complémentaire comme « la temporisation d'accès au compte après plusieurs échecs (suspension temporaire de l'accès dont la durée augmente à mesure des tentatives), la mise en place d'un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d'authentification infructueuses ».
Une doctrine dont seraient bien inspirés de suivre les responsables de traitements.
Des scans de carte bancaire, des données en clair
Ce n’est pas tout. La société conservait aussi des scans de cartes bancaires comportant l’intégralité des données alors qu’elle n’avait été autorisée en 2009 qu’à traiter des numéros tronqués.
Pire, ces données étaient transférées en clair par les clients et stockées de la même manière durant 6 longs mois dans les serveurs de Spartoo. Autant de manquements à l’obligation de sécurisation.
Pas de tolérance pour des manquements à la loi de 78
S’agissant de la sanction, la CNIL avait annoncé une période de tolérance suite à la mise en œuvre du RGPD. Cependant, note l’autorité agissant en tant que chef de file, les manquements épinglés concernaient des obligations déjà inscrites dans la loi de 1978.
De plus, la société n’a réagi qu’après intervention de la commission, alors que la gravité des manquements a été estimée caractérisée. Ainsi, outre la question des données bancaires, « la société a enregistré pendant plusieurs années l’intégralité des conversations téléphoniques de ses salariés, alors même qu’elle n’en avait aucune utilité et qu’un tel traitement peut s’apparenter à une surveillance constante ».
Enfin la société ne s’est pas entièrement mise en conformité le jour de la clôture de l’instruction.
La société se voit contrainte finalement de rectifier le tir sur l’ensemble des manquements concernés, sous astreinte de 250 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.
Elle écope en outre d’une amende administrative de 250 000 euros pour violation d’une ribambelle d’articles du RGPD.
L’autorité a en outre décidé de rendre publique sur le site de la CNIL et Légifrance sa délibération. Ce n’est qu’après un délai de deux ans, que le nom « Spartoo » y sera supprimé (contre un délai d’un an, généralement suivi par l’institution).
La décision est évidemment susceptible de recours devant le Conseil d’État. Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 », attribué par le magazine Capital, rapporte ce communiqué d'avril 2020.
