RGPD : l'enseigne Spartoo rechaussée par la CNIL

RGPD : l’enseigne Spartoo rechaussée par la CNIL

Spartoo pareil ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

05/08/2020 10 minutes
18

RGPD : l'enseigne Spartoo rechaussée par la CNIL

La CNIL inflige 250 000 euros de sanction à l’encontre de Spartoo. L’enseigne de vente de chaussures se voit reprocher plusieurs violations du règlement général sur la protection des données personnelles et de la loi de 1978. L’autorité l’enjoint de se remettre dans les clous des textes dans les trois mois. Sous astreintes.

Le site, installé à Grenoble, avait eu la visite des agents de la CNIL pas plus tard que le 31 mai 2018, soit 6 jours après l’entrée en application du règlement européen. « Le contrôle a porté plus particulièrement sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société » explique l’autorité dans sa délibération.

Après instruction, plusieurs indélicatesses ont été épinglées. La délégation dépêchée sur place « a constaté que dans le cadre de l’enregistrement des conversations téléphoniques passées entre les conseillers clientèles et les clients, les personnes appelant la société pouvaient s’opposer à l’enregistrement des appels téléphoniques en appuyant sur une touche de leur téléphone ».

Quand le client ne disait rien, l’intégralité des échanges vocaux faisait l’objet d’un enregistrement. Quand il s’y opposait, les paroles des salariés étaient malgré tout enregistrées, organisant une surveillance constante. Alors que la voix est une donnée personnelle, la CNIL a considéré que cette politique allait bien au-delà de la finalité dévolue à ce traitement, à savoir l’évaluation et la formation des salariés.

Un dispositif particulièrement intrusif

« Un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés » explique la CNIL.

Autre souci, au moins jusqu’au 19 juin 2019, Spartoo a « enregistré à l’occasion de l’enregistrement des conversations des salariés à des fins de formation, les coordonnées bancaires des clients qui passaient des commandes par téléphone et conservé de telles données dans sa base, en clair, pendant quinze jours ».

En face, l’entreprise a eu du mal à convaincre l’autorité lorsqu’elle a précisé que « la mise en place d’une mesure permettant d’interrompre un enregistrement lors de la communication des coordonnées bancaires d’un client demanderait le développement d’outils techniques complexes et ferait peser un coût financier et humain particulièrement lourd ».

Un manquement à la minimisation des données

D’autres manquements au principe de minimisation des données ont été mis à l’index. Spartoo « conservait les données de 118 768 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2008, celles de 682 164 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2010 et les données de 3 620 401 clients ne s’étant pas connectés à leur compte depuis le 25 mai 2013 ».

Et pour les prospects, la durée de conservation choisie a été fixée à cinq ans, après le premier contrôle, alors qu’auparavant, aucune limite n’était fixée.

Par exemple, « la société conservait en juin 2018, s’agissant des différents pays de l’Union européenne dans lesquels la société exerce son activité et du Royaume-Uni, les données de plus de 25 millions de prospects n’ayant eu aucune activité depuis le 25 mai 2015, soit depuis plus de trois ans ».

En tout état de cause, la durée de cinq ans elle-même a été considérée comme excessive, alors que Spartoo a indiqué à la CNIL « qu’elle n’envoie des messages promouvant ses produits ou contenant des offres commerciales à ses prospects que pendant une période de deux ans ».

Quand la simple ouverture d’un mail relance le délai de conservation

La détermination du point de départ de cette durée de conservation a également fait tiquer le gendarme des données personnelles. Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ. Une manière un peu trop astucieuse pour « conserver de telles données alors même que les prospects n’ont pas démontré, par un acte clair, un intérêt pour les produits ou services de la société pendant plusieurs années ».

À l’extrémité, à l’expiration de ce délai, Spartoo ne supprimait pas l’intégralité des données conservées. Elle conservait « l’adresse électronique des clients ainsi que leurs mots de passe, sous une forme pseudonymisée, ce qui ne permettrait pas de respecter le principe de limitation de conservation des données », réagit la CNIL.

La société a vainement soutenu que « l’anonymisation des adresses électroniques des anciens clients est effectuée à partir d’un procédé fondé sur une technologie SHA-256 et que le décryptage des données hachées avec cette fonction requiert des compétences techniques très pointues ». Elle a soutenu « que les données des clients inactifs sont indécryptables et donc anonymes ».

La formation restreinte de la CNIL lui a répondu « que les données de ses anciens clients, même hachées, ne sont pas anonymisées, mais pseudonymisées, et permettraient de réidentifier les personnes ». En conséquence, elle lui reproche de conserver « les données en cause pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Manquement au droit à l’information des personnes, salariés compris

Alors que le RGPD exige que la base légale des traitements soit claire et précise, Spartoo indiquait dans sa politique de confidentialité qu’elle fait reposer ces opérations sur le seul consentement des personnes physiques. Or, en réalité, d’autres justifications ont été apportées par la société, comme la lutte contre la fraude ou le contrat. Informations qui auraient dû être précisées sur chacun des traitements. Jusqu’au 18 novembre 2019, par ailleurs, l’enseigne française ne précisait pas que les données glanées lors des appels téléphoniques étaient transférées à Madagascar.

Autre problème, les nouveaux salariés n’étaient pas nécessairement informés que leur voix était enregistrée. Quand l’information était diffusée, « les documents produits par la société ne permettent pas de fournir aux salariés une information relative aux finalités poursuivies par le traitement, à la base légale du dispositif, aux destinataires des données issues du dispositif, à la durée de conservation des données, à leurs droits notamment d’accès aux données les concernant ainsi qu’à la possibilité d’introduire une réclamation auprès de la CNIL ».

Manquement à la sécurisation des données

Le 31 mai 2018, la délégation de la CNIL notait que les personnes « souhaitant créer un compte utilisateur sur le site web de la société pouvaient créer un mot de passe composé de six caractères comportant une seule catégorie de caractère ».

Auditionnée le 19 juin 2019, Spartoo a relevé que, depuis le contrôle de la CNIL, « une mesure de blocage d’une minute du compte a été mise en place, après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute ». Par ailleurs, la longueur du mot de passe a été portée à huit caractères.

Des mesures trop simples pour la commission. « La robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que la société ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ».

La CNIL exige de son côté au minimum douze caractères « contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial », voire au moins huit caractères mais avec cette fois « trois de ces quatre catégories de caractères ». Et dans un tel cas, encore faut-il que le mot de passe soit accompagné d'une mesures complémentaire comme « la temporisation d'accès au compte après plusieurs échecs (suspension temporaire de l'accès dont la durée augmente à mesure des tentatives), la mise en place d'un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d'authentification infructueuses ». 

Une doctrine dont seraient bien inspirés de suivre les responsables de traitements. 

Des scans de carte bancaire, des données en clair

Ce n’est pas tout. La société conservait aussi des scans de cartes bancaires comportant l’intégralité des données alors qu’elle n’avait été autorisée en 2009 qu’à traiter des numéros tronqués.

Pire, ces données étaient transférées en clair par les clients et stockées de la même manière durant 6 longs mois dans les serveurs de Spartoo. Autant de manquements à l’obligation de sécurisation.

Pas de tolérance pour des manquements à la loi de 78

S’agissant de la sanction, la CNIL avait annoncé une période de tolérance suite à la mise en œuvre du RGPD. Cependant, note l’autorité agissant en tant que chef de file, les manquements épinglés concernaient des obligations déjà inscrites dans la loi de 1978.

De plus, la société n’a réagi qu’après intervention de la commission, alors que la gravité des manquements a été estimée caractérisée. Ainsi, outre la question des données bancaires, « la société a enregistré pendant plusieurs années l’intégralité des conversations téléphoniques de ses salariés, alors même qu’elle n’en avait aucune utilité et qu’un tel traitement peut s’apparenter à une surveillance constante ».

Enfin la société ne s’est pas entièrement mise en conformité le jour de la clôture de l’instruction.

La société se voit contrainte finalement de rectifier le tir sur l’ensemble des manquements concernés, sous astreinte de 250 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.

Elle écope en outre d’une amende administrative de 250 000 euros pour violation d’une ribambelle d’articles du RGPD.

L’autorité a en outre décidé de rendre publique sur le site de la CNIL et Légifrance sa délibération. Ce n’est qu’après un délai de deux ans, que le nom « Spartoo » y sera supprimé (contre un délai d’un an, généralement suivi par l’institution).

La décision est évidemment susceptible de recours devant le Conseil d’État. Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 », attribué par le magazine Capital, rapporte ce communiqué d'avril 2020.

18

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un dispositif particulièrement intrusif

Un manquement à la minimisation des données

Quand la simple ouverture d’un mail relance le délai de conservation

Manquement au droit à l’information des personnes, salariés compris

Manquement à la sécurisation des données

Des scans de carte bancaire, des données en clair

Pas de tolérance pour des manquements à la loi de 78

Commentaires (18)




Alors que la voix est une donnée personnelle, la CNIL a considéré que

cette politique allait bien au-delà de la finalité dévolue à ce

traitement, à savoir l’évaluation et la formation des salariés.





La plupart des SAV disent que l’enregistrement est réalisé à ces fins. Je n’ai jamais compris pourquoi, on ne pouvait pas prendre l’exemple d’une conversation fictive pour la formation. Est-on vraiment obligé d’avoir le cas réel de M. Michu qui appelle, pour apprendre ce qu’il faut lui répondre, ou comment se comporter s’il s’énerve, ou ne comprend  pas ?

De plus, 100% des conversations enregistrées sont-elles utilisées pour ces finalités ? et qu’en fait-on ensuite, sont-elles supprimées régulièrement, ou conservées à vie ?





En face, l’entreprise a eu du mal à convaincre l’autorité lorsqu’elle a précisé que « la

mise en place d’une mesure permettant d’interrompre un enregistrement

lors de la communication des coordonnées bancaires d’un client

demanderait le développement d’outils techniques complexes et ferait

peser un coût financier et humain particulièrement lourd ».





Ca coûte si cher, un bouton “mute” sur un clavier ou un téléphone ?




Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 », attribué par le magazine Capital





Ce qui est bien avec “meilleur”, c’est que ça ne veut absolument rien dire, tant qu’on ne précise pas sur quel(s) critère(s)…



Par contre je suis assez surpris que des gens donnent par téléphone leurs coordonnées bancaires ou numéros de carte alors qu’il s’agit d’une boutique en ligne…


On est quand même dans un cas particulièrement intéressant. Comment justifier des options de mot de passe si dépassés sans avoir honte et faire pipi au lit le soir.

Certaines boites pourraient vraiment économiser de l’argent en se faisant auditer histoire de virer les gros manquements. Surtout qu’un mec qui gère la conformité aurait dès la première semaine de travail pu alerter sur tout ça, c’est tellement gros.


C’est très courant dans la VPC. Tout le monde n’est pas équipé, ou ne sait pas se servir de son équipement, pour faire des achats en ligne. Certaines personnes sont toujours réticentes à taper leur numéro de CB sur une page web, faisant (à tort) plus confiance à un humain au téléphone.



 Tu peux même t’abonner à ton FAI par téléphone, on te demandera aussi ton numéro de CB, , la date d’expiration, et le chiffrogramme, même si c’est un fournisseur “100% en ligne” comme Sosh par exemple.








loser a écrit :



Par contre je suis assez surpris que des gens donnent par téléphone leurs coordonnées bancaires ou numéros de carte alors qu’il s’agit d’une boutique en ligne…





Tu dois être trop jeune pour avoir connu les commandes par téléphone à La Redoute ou La Blanche Porte dans les années 8090. Toutes les commandes se faisaient comme ça, en donnant le numéro de carte par téléphone. Je suppose que les clients qui commandent par téléphone et non par internet doivent être plutôt âgés.



 





un procédé fondé sur une technologie SHA-256 et que le décryptage des données hachées avec cette fonction requiert des compétences techniques très pointues



Ah bah vu que c’est pas réversible SHA256, tu m’étonnes que c’est pointu <img data-src=" />


Idem que mes voisins du dessus. De mémoire, j’ai déjà donné mon RIB par téléphone pour un abonnement chez Free (pas le choix si je voulais sans engagement).



Et comme dit il y a des sites comme LaRedoute où tu peux commander par téléphone et donc donner ton numéro de CB.


“Spartoo « avait obtenu le label des meilleurs sites de commerce en ligne 2020 »”

Je suppose que l’évaluation de Capital ne porte pas sur les mêmes critères que ceux de la CNIL.








loser a écrit :



Ce qui est bien avec “meilleur”, c’est que ça ne veut absolument rien dire, tant qu’on ne précise pas sur quel(s) critère(s)…





J’aime bien aussi “numéro 1 de…”.



“This is Spartoooo !!!” <img data-src=" /> 😁


Je sais que “c’est à ça qu’on les reconnait”, mais

« une mesure de blocage d’une minute du compte a été mise en place,

après 19 tentatives d’accès infructueuses à un compte à partir d’une

même adresse IP en moins d’une minute »



RLY???

60 secondes / 19 = 2s la tentative.

Et ils espèrent rester crédibles???




Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ.



&nbsp;&nbsp;C’est intéressant ça. J’avoue que je m’étais déjà dit que c’était un bon moyen pour faire allonger la durée de conservation. A moins que la société fasse appel, on aura une jurisprudence pour ça.


Par défault, on ne peut enregistrer que 30% des appels, au dela il faut l’accord de la CNIL et bien sur le justifier pour avoir l’accord.



&nbsp;Un vrai dossier c’est quand même mieux qu’un appel simulé car les personnes ne vont pas réagir de la même facon.



Après ca permet aussi de vérifier si l’agent fait bien son travail en écoutant des appel enregistré, mais 30% ca peut faire beaucoup, genre si une grossie hotline et 10000 appel par jour, ca fait 3000 appel, personne va pouvoir écouter ca, donc ca sert a rien, peut être faudrait il changer ce % en mesure du nombre d’appel, genre moins de 100 par jour, ok 30%, entre 10 et 1000, 20%, etc.



Le button serait pas sur le téléphone mais sur le soft qui gère ca généralement de nos jours, et a mon avis, la fonction doit être par défaut mais ils l’ont pas activé, et si vraiment pas présente, ca doit pas être compliqué a ajouter effectivement, c’est de la mauvaise fois de dire que pas possible economiquement de faire ca. Puis dans le pire des ils peuvent sous traiter a des professionels qui vont leur faire ca :)


250k€ d’amende et 250€ d’astreinte par jour, ça ne fera peur à aucune autre boîte qui serait dans le même cas. Il y a un vague préjudice d’image mais je doute qu’une grande partie des clients finisse par avoir vent des problèmes…








swiper a écrit :



On est quand même dans un cas particulièrement intéressant. Comment justifier des options de mot de passe si dépassés sans avoir honte et faire pipi au lit le soir.







Dépassées ? Pas si sûr. Les arguments de Spartoo ont du sens : imposer des jeux de caractères aux utilisateurs pour les mdp a en soi tendance à être contre productif : mdp trop difficile à retenir donc on le note sur un support non sécurisé, et/ou on le réutilise pour plusieurs comptes. Et exit les phrases de passe…

Pour que ça soit efficace ça doit s’accompagner d’une sensibilisation de l’utilisateur (encourager l’utilisation d’un gestionnaire de mdp par ex), de conseils, etc. Et encore, il faut que l’utilisateur y prête attention et ne se contente pas de contourner les règles parce que ça le gonfle.



Ce genre de doctrine ne doit pas être décidée à la légère, derrière des entreprises vont devoir s’y plier sous peine de sanctions similaires, donc si la doctrine est à côté de la plaque ça affaiblit leur sécurité et celle de leurs clients/salariés/utilisateurs.



Dans le même genre, la CNIL et l’ANSSI recommandent que les mdp soient changés régulièrement, et ça pour le coup c’est totalement dépassé comme conception : raison similaire que pour les jeux de caractères imposés, ça gonfle les utilisateurs et ils contournent en employant des pratiques qui affaiblissent la sécurité, comme celles que j’ai mentionnées plus tôt, ou encore se contenter d’incrémenter un chiffre au début ou à la fin du mdp.



A noter que le NIST adopte une position diamétralement opposée, ça mérite débat…

https://pages.nist.gov/800-63-3/sp800-63b.html

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.



Idem pour le changement régulier, le NIST est contre.



Pour approfondir la question : https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

(non exhaustif, c’est un sujet très vaste, avec des avis divergents qui pour autant se tiennent, des études, etc)









Jarodd a écrit :



La plupart des SAV disent que l’enregistrement est réalisé à ces fins. Je n’ai jamais compris pourquoi, on ne pouvait pas prendre l’exemple d’une conversation fictive pour la formation. Est-on vraiment obligé d’avoir le cas réel de M. Michu qui appelle, pour apprendre ce qu’il faut lui répondre, ou comment se comporter s’il s’énerve, ou ne comprend  pas ?



Parait que ca permet des améliorations. Perso je n’ai rien remarqué sur ce point en plusieurs années de hotline avec évaluations de ce genre…









Djudenne a écrit :



Après ca permet aussi de vérifier si l’agent fait bien son travail en écoutant des appel enregistré, mais 30% ca peut faire beaucoup, genre si une grossie hotline et 10000 appel par jour, ca fait 3000 appel, personne va pouvoir écouter ca, donc ca sert a rien, peut être faudrait il changer ce % en mesure du nombre d’appel, genre moins de 100 par jour, ok 30%, entre 10 et 1000, 20%, etc.



Dans ces 3000, beaucoup ne sont pas utilisables. S’ils durent 2 min ils n’ont aucun intérêt, s’ils en durent 30, c’est bien trop long.



Je me demande si ces enregistrements audio font partie des données qu’on peut demander à récupérer, et si elles sont incluses quand on exerce son droit de suppression.


Mon propos ne consistait pas à espérer que les utilisateurs mettent 12 caractères avec 4 types différents à changer tous les mois, mais entre ça et ce qu’ils avaient mis en place… il faut quand même pouvoir reconnaître que c’est bien mal réfléchis. Il faut un juste milieu.

Je pense que c’est surtout un manque de formation des utilisateurs. Il existe plein de moyens de mettre en place des mots de passes sécurisés et qui peuvent changer régulièrement grâce à des méthodes de gestion de mot de passe (cf.ANSSI).