Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : l'enseigne Spartoo rechaussée par la CNIL

Spartoo pareil ?
Droit 8 min
RGPD : l'enseigne Spartoo rechaussée par la CNIL

La CNIL inflige 250 000 euros de sanction à l’encontre de Spartoo. L’enseigne de vente de chaussures se voit reprocher plusieurs violations du règlement général sur la protection des données personnelles et de la loi de 1978. L’autorité l’enjoint de se remettre dans les clous des textes dans les trois mois. Sous astreintes.

Le site, installé à Grenoble, avait eu la visite des agents de la CNIL pas plus tard que le 31 mai 2018, soit 6 jours après l’entrée en application du règlement européen. « Le contrôle a porté plus particulièrement sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société » explique l’autorité dans sa délibération.

Après instruction, plusieurs indélicatesses ont été épinglées. La délégation dépêchée sur place « a constaté que dans le cadre de l’enregistrement des conversations téléphoniques passées entre les conseillers clientèles et les clients, les personnes appelant la société pouvaient s’opposer à l’enregistrement des appels téléphoniques en appuyant sur une touche de leur téléphone ».

Quand le client ne disait rien, l’intégralité des échanges vocaux faisait l’objet d’un enregistrement. Quand il s’y opposait, les paroles des salariés étaient malgré tout enregistrées, organisant une surveillance constante. Alors que la voix est une donnée personnelle, la CNIL a considéré que cette politique allait bien au-delà de la finalité dévolue à ce traitement, à savoir l’évaluation et la formation des salariés.

Un dispositif particulièrement intrusif

« Un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés » explique la CNIL.

Autre souci, au moins jusqu’au 19 juin 2019, Spartoo a « enregistré à l’occasion de l’enregistrement des conversations des salariés à des fins de formation, les coordonnées bancaires des clients qui passaient des commandes par téléphone et conservé de telles données dans sa base, en clair, pendant quinze jours ».

En face, l’entreprise a eu du mal à convaincre l’autorité lorsqu’elle a précisé que « la mise en place d’une mesure permettant d’interrompre un enregistrement lors de la communication des coordonnées bancaires d’un client demanderait le développement d’outils techniques complexes et ferait peser un coût financier et humain particulièrement lourd ».

Un manquement à la minimisation des données

D’autres manquements au principe de minimisation des données ont été mis à l’index. Spartoo « conservait les données de 118 768 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2008, celles de 682 164 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2010 et les données de 3 620 401 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2013 ».

Et pour les prospects, la durée de conservation choisie a été fixée à cinq ans, après le premier contrôle, alors qu’auparavant, aucune limite n’était fixée.

Par exemple, « la société conservait en juin 2018, s’agissant des différents pays de l’Union européenne dans lesquels la société exerce son activité et du Royaume-Uni, les données de plus de 25 millions de prospects n’ayant eu aucune activité depuis le 25 mai 2015, soit depuis plus de trois ans ».

En tout état de cause, la durée de cinq ans elle-même a été considérée comme excessive, alors que Spartoo a indiqué à la CNIL « qu’elle n’envoie des messages promouvant ses produits ou contenant des offres commerciales à ses prospects que pendant une période de deux ans ».

Quand la simple ouverture d’un mail relance le délai de conservation

La détermination du point de départ de cette durée de conservation a également fait tiquer le gendarme des données personnelles. Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ. Une manière un peu trop astucieuse pour « conserver de telles données alors même que les prospects n’ont pas démontré, par un acte clair, un intérêt pour les produits ou services de la société pendant plusieurs années ».

À l’extrémité, à l’expiration de ce délai, Spartoo ne supprimait pas l’intégralité des données conservées. Elle conservait « l’adresse électronique des clients ainsi que leurs mots de passe, sous une forme pseudonymisée, ce qui ne permettrait pas de respecter le principe de limitation de conservation des données », réagit la CNIL.

La société a vainement soutenu que « l’anonymisation des adresses électroniques des anciens clients est effectuée à partir d’un procédé fondé sur une technologie SHA-256 et que le décryptage des données hachées avec cette fonction requiert des compétences techniques très pointues ». Elle a soutenu « que les données des clients inactifs sont indécryptables et donc anonymes ».

La formation restreinte de la CNIL lui a répondu « que les données de ses anciens clients, même hachées, ne sont pas anonymisées, mais pseudonymisées, et permettraient de réidentifier les personnes ». En conséquence, elle lui reproche de conserver « les données en cause pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Manquement au droit à l’information des personnes, salariés compris

Alors que le RGPD exige que la base légale des traitements soit claire et précise, Spartoo indiquait dans sa politique de confidentialité qu’elle fait reposer ces opérations sur le seul consentement des personnes physiques. Or, en réalité, d’autres justifications ont été apportées par la société, comme la lutte contre la fraude ou le contrat. Informations qui auraient dû être précisées sur chacun des traitements. Jusqu’au 18 novembre 2019, par ailleurs, l’enseigne française ne précisait pas que les données glanées lors des appels téléphoniques étaient transférées à Madagascar.

Autre problème, les nouveaux salariés n’étaient pas nécessairement informés que leur voix était enregistrée. Quand l’information était diffusée, « les documents produits par la société ne permettent pas de fournir aux salariés une information relative aux finalités poursuivies par le traitement, à la base légale du dispositif, aux destinataires des données issues du dispositif, à la durée de conservation des données, à leurs droits notamment d’accès aux données les concernant ainsi qu’à la possibilité d’introduire une réclamation auprès de la CNIL ».

Manquement à la sécurisation des données

Le 31 mai 2018, la délégation de la CNIL notait que les personnes « souhaitant créer un compte utilisateur sur le site web de la société pouvaient créer un mot de passe composé de six caractères comportant une seule catégorie de caractère ».

Auditionnée le 19 juin 2019, Spartoo a relevé que, depuis le contrôle de la CNIL, « une mesure de blocage d’une minute du compte a été mise en place, après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute ». Par ailleurs, la longueur du mot de passe a été portée à huit caractères.

Des mesures trop simples pour la commission. « La robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que la société ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ».

La CNIL exige de son côté au minimum douze caractères « contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial », voire au moins huit caractères mais avec cette fois « trois de ces quatre catégories de caractères ». Et dans un tel cas, encore faut-il que le mot de passe soit accompagné d'une mesures complémentaire comme « la temporisation d'accès au compte après plusieurs échecs (suspension temporaire de l'accès dont la durée augmente à mesure des tentatives), la mise en place d'un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d'authentification infructueuses ». 

Une doctrine dont seraient bien inspirés de suivre les responsables de traitements. 

Des scans de carte bancaire, des données en clair

Ce n’est pas tout. La société conservait aussi des scans de cartes bancaires comportant l’intégralité des données alors qu’elle n’avait été autorisée en 2009 qu’à traiter des numéros tronqués.

Pire, ces données étaient transférées en clair par les clients et stockées de la même manière durant 6 longs mois dans les serveurs de Spartoo. Autant de manquements à l’obligation de sécurisation.

Pas de tolérance pour des manquements à la loi de 78

S’agissant de la sanction, la CNIL avait annoncé une période de tolérance suite à la mise en œuvre du RGPD. Cependant, note l’autorité agissant en tant que chef de file, les manquements épinglés concernaient des obligations déjà inscrites dans la loi de 1978.

De plus, la société n’a réagi qu’après intervention de la commission, alors que la gravité des manquements a été estimée caractérisée. Ainsi, outre la question des données bancaires, « la société a enregistré pendant plusieurs années l’intégralité des conversations téléphoniques de ses salariés, alors même qu’elle n’en avait aucune utilité et qu’un tel traitement peut s’apparenter à une surveillance constante ».

Enfin la société ne s’est pas entièrement mise en conformité le jour de la clôture de l’instruction.

La société se voit contrainte finalement de rectifier le tir sur l’ensemble des manquements concernés, sous astreinte de 250 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.

Elle écope en outre d’une amende administrative de 250 000 euros pour violation d’une ribambelle d’articles du RGPD.

L’autorité a en outre décidé de rendre publique sur le site de la CNIL et Légifrance sa délibération. Ce n’est qu’après un délai de deux ans, que le nom « Spartoo » y sera supprimé (contre un délai d’un an, généralement suivi par l’institution).

La décision est évidemment susceptible de recours devant le Conseil d’État. Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 », attribué par le magazine Capital, rapporte ce communiqué d'avril 2020.

18 commentaires
Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 05/08/20 à 10:31:37

Alors que la voix est une donnée personnelle, la CNIL a considéré que
cette politique allait bien au-delà de la finalité dévolue à ce
traitement, à savoir l’évaluation et la formation des salariés.

La plupart des SAV disent que l'enregistrement est réalisé à ces fins. Je n'ai jamais compris pourquoi, on ne pouvait pas prendre l'exemple d'une conversation fictive pour la formation. Est-on vraiment obligé d'avoir le cas réel de M. Michu qui appelle, pour apprendre ce qu'il faut lui répondre, ou comment se comporter s'il s'énerve, ou ne comprend  pas ?
De plus, 100% des conversations enregistrées sont-elles utilisées pour ces finalités ? et qu'en fait-on ensuite, sont-elles supprimées régulièrement, ou conservées à vie ?

En face, l’entreprise a eu du mal à convaincre l’autorité lorsqu’elle a précisé que « la
mise en place d’une mesure permettant d’interrompre un enregistrement
lors de la communication des coordonnées bancaires d’un client
demanderait le développement d’outils techniques complexes et ferait
peser un coût financier et humain particulièrement lourd ».

Ca coûte si cher, un bouton "mute" sur un clavier ou un téléphone ?

Édité par Jarodd le 05/08/2020 à 10:33
Avatar de loser Abonné
Avatar de loserloser- 05/08/20 à 11:22:02

Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 », attribué par le magazine Capital

Ce qui est bien avec "meilleur", c'est que ça ne veut absolument rien dire, tant qu'on ne précise pas sur quel(s) critère(s)...

Par contre je suis assez surpris que des gens donnent par téléphone leurs coordonnées bancaires ou numéros de carte alors qu'il s'agit d'une boutique en ligne...

Avatar de swiper Abonné
Avatar de swiperswiper- 05/08/20 à 11:44:02

On est quand même dans un cas particulièrement intéressant. Comment justifier des options de mot de passe si dépassés sans avoir honte et faire pipi au lit le soir.
Certaines boites pourraient vraiment économiser de l'argent en se faisant auditer histoire de virer les gros manquements. Surtout qu'un mec qui gère la conformité aurait dès la première semaine de travail pu alerter sur tout ça, c'est tellement gros.

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 05/08/20 à 11:55:29

C'est très courant dans la VPC. Tout le monde n'est pas équipé, ou ne sait pas se servir de son équipement, pour faire des achats en ligne. Certaines personnes sont toujours réticentes à taper leur numéro de CB sur une page web, faisant (à tort) plus confiance à un humain au téléphone.

 Tu peux même t'abonner à ton FAI par téléphone, on te demandera aussi ton numéro de CB, , la date d'expiration, et le chiffrogramme, même si c'est un fournisseur "100% en ligne" comme Sosh par exemple.

Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 05/08/20 à 11:56:12

loser a écrit :

Par contre je suis assez surpris que des gens donnent par téléphone leurs coordonnées bancaires ou numéros de carte alors qu'il s'agit d'une boutique en ligne...

Tu dois être trop jeune pour avoir connu les commandes par téléphone à La Redoute ou La Blanche Porte dans les années 80/90. Toutes les commandes se faisaient comme ça, en donnant le numéro de carte par téléphone. Je suppose que les clients qui commandent par téléphone et non par internet doivent être plutôt âgés.

 

Avatar de maverick78 Abonné
Avatar de maverick78maverick78- 05/08/20 à 12:14:34

un procédé fondé sur une technologie SHA-256 et que le décryptage des données hachées avec cette fonction requiert des compétences techniques très pointues

Ah bah vu que c'est pas réversible SHA256, tu m'étonnes que c'est pointu :D

Avatar de woodcutter Abonné
Avatar de woodcutterwoodcutter- 05/08/20 à 12:21:53

Idem que mes voisins du dessus. De mémoire, j’ai déjà donné mon RIB par téléphone pour un abonnement chez Free (pas le choix si je voulais sans engagement).

Et comme dit il y a des sites comme LaRedoute où tu peux commander par téléphone et donc donner ton numéro de CB.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 05/08/20 à 12:40:40

"Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 »"
Je suppose que l'évaluation de Capital ne porte pas sur les mêmes critères que ceux de la CNIL.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 05/08/20 à 12:44:02

loser a écrit :

Ce qui est bien avec "meilleur", c'est que ça ne veut absolument rien dire, tant qu'on ne précise pas sur quel(s) critère(s)...

J'aime bien aussi "numéro 1 de...".

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 05/08/20 à 12:52:05

"This is Spartoooo !!!" :transpi: 😁

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Un dispositif particulièrement intrusif
  • Un manquement à la minimisation des données
  • Quand la simple ouverture d’un mail relance le délai de conservation
  • Manquement au droit à l’information des personnes, salariés compris
  • Manquement à la sécurisation des données
  • Des scans de carte bancaire, des données en clair
  • Pas de tolérance pour des manquements à la loi de 78
S'abonner à partir de 3,75 €