Ces derniers temps, la Cnil a tendance à aligner de plus de en plus de contrevenants au RGPD. Dernier en date, Spartoo, le site de vente en ligne de chaussures. L’enseigne écope d'une amende de 250 000 euros pour divers manquements au règlement général sur la protection des données personnelles mais aussi à la loi Informatique et libertés de 1978. La décision est en plus assortie d'une obligation de mise en conformité sous trois mois, d'une astreinte et d'une communication publique sur les réseaux sociaux.
Il lui est en effet reproché de ne pas avoir respecté :
- le principe de minimisation des données (article 5-1 c) du RGPD) - l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD) - l’obligation d’information des personnes (article 13 du RGPD) - l’obligation d’assurer la sécurité des données (article 32 du RGPD)
Au delà de ces rubriques, la Commission détaille amplement les motifs de cette condamnation. Entre autres, le site enregistre l'ensemble des appels passés au SAV, alors qu'un seul entretien hebdomadaire est nécessaire pour former le personnel. Ce faisant, il conserve -sans raison particulière- les coordonnées bancaires de ses clients passant par téléphone, mais également les données personnelles, pendant une durée de 6 mois et sans aucun chiffrement. Il garde également les mails des clients, sans limite de temps -ce qui est formellement interdit en droit français. A priori, plus de 3 millions de clients sur l'Europe seraient concernés par ces pratiques.
