Une amende pour Spartoo à cause de sa mauvaise gestion des données bancaires

Spartoo s’est fait taper sur les doigts par la Commission nationale de l’informatique et des libertés (CNIL). Elle a infligé une amende de 250 000 euros au commerçant en ligne spécialisé dans la vente de chaussures pour ne pas avoir respecté le Règlement général sur la protection des données (RGPD).

La CNIL explique que l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, ne sont pas non plus nécessaires pour la finalité poursuivie, à savoir la formation des salariés. À cela s’ajoute le fait que Spartoo demande en Italie une copie de la « carte de santé », qui contient davantage d’informations que la carte d’identité. Cette dernière est également réclamée d’ailleurs par Spartoo. C’est excessif pour la CNIL.

La CNIL poursuit en indiquant qu’au moment de son contrôle, aucune durée de conservation des données des clients et des prospects n’était mise en place par Spartoo, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas.

Un autre élément fâcheux concerne des numérisations de la carte bancaire utilisée lors d’une commande qui étaient conservées pendant six mois et en clair de surcroît.

Compte tenu du nombre de manquements, la CNIL a prononcé une amende de 250 000 euros et a décidé de rendre publique sa sanction. Spartoo a trois mois pour se conformer au RGPD et sera sanctionné d’une astreinte de 250 euros par jour en cas de retard.