Spartoo sanctionné pour avoir mal protégé les données bancaires de ses clients

6 Août 2020 - Carlito

0 commentaire(s)
© Carlos Muza – Unsplash

Spartoo fait partie des noms qui ont réussi à s’imposer sur le marché de la mode en ligne. Mais cet acteur majeur de la vente de chaussures en ligne s’est récemment fait botter le train par la CNIL pour non-respect du RGPD, ce fameux règlement européen qui encadre strictement l’utilisation des données personnelles. Dans un communiqué publié aujourd’hui, l’autorité du numérique explique avoir décidé d’infliger une amende de 250.000 euros au groupe. Elle lui a également adressé une injonction de se conformer aux RGPD. Le spécialiste de la chaussure se serait en effet rendu coupable de manquements à de nombreux articles de cette charte. Pour commencer, Spartoo aurait failli à ses obligation au niveau du principe de “Minimisation des données”.  Il stipule qu’une entreprise ne peut collecter et conserver qu’une petite quantité de données, le minimum nécessaire au bon fonctionnement de son site.

Des problèmes de sécurité et de transparence

Or, la plateforme d’e-commerce enregistrait et conservait tous les appels, les coordonnées bancaires, et même la carte de santé pour les clients Italiens. Ces données auraient également été conservées indéfiniment, ce qui va à l’encontre d’un autre article du règlement. La CNIL explique aussi que l’entreprise n’effectuait pas correctement son devoir d’information des personnes, et collectait donc bien souvent ces données sans consentement explicite et éclairé. Mais le plus inquiétant, c’est que cette grande quantité de données auraient été conservé de façon très peu sécurisée. Le rapport de la CNIL fait état de numérisations de cartes bancaires conservées en clair sur le site, c’est à dire sans aucun chiffrement, ce qui est contraire à l’article 32 du RGPD.

La Commission précise que les faits concerneraient environ 3 millions de clients et 25 millions de prospects (des clients potentiels). Spartoo dispose désormais de trois mois à compter d’aujourd’hui pour régulariser sa situation, revoir sa politique d’information, et sécuriser correctement les données de ses très nombreux clients partout en Europe.