Spartoo fait partie des noms qui ont réussi à s’imposer sur le marché de la mode en ligne. Mais cet acteur majeur de la vente de chaussures en ligne s’est récemment fait botter le train par la CNIL pour non-respect du RGPD, ce fameux règlement européen qui encadre strictement l’utilisation des données personnelles. Dans un communiqué publié aujourd’hui, l’autorité du numérique explique avoir décidé d’infliger une amende de 250.000 euros au groupe. Elle lui a également adressé une injonction de se conformer aux RGPD. Le spécialiste de la chaussure se serait en effet rendu coupable de manquements à de nombreux articles de cette charte. Pour commencer, Spartoo aurait failli à ses obligation au niveau du principe de “Minimisation des données”. Il stipule qu’une entreprise ne peut collecter et conserver qu’une petite quantité de données, le minimum nécessaire au bon fonctionnement de son site.
Des problèmes de sécurité et de transparence
Or, la plateforme d’e-commerce enregistrait et conservait tous les appels, les coordonnées bancaires, et même la carte de santé pour les clients Italiens. Ces données auraient également été conservées indéfiniment, ce qui va à l’encontre d’un autre article du règlement. La CNIL explique aussi que l’entreprise n’effectuait pas correctement son devoir d’information des personnes, et collectait donc bien souvent ces données sans consentement explicite et éclairé. Mais le plus inquiétant, c’est que cette grande quantité de données auraient été conservé de façon très peu sécurisée. Le rapport de la CNIL fait état de numérisations de cartes bancaires conservées en clair sur le site, c’est à dire sans aucun chiffrement, ce qui est contraire à l’article 32 du RGPD.
La Commission précise que les faits concerneraient environ 3 millions de clients et 25 millions de prospects (des clients potentiels). Spartoo dispose désormais de trois mois à compter d’aujourd’hui pour régulariser sa situation, revoir sa politique d’information, et sécuriser correctement les données de ses très nombreux clients partout en Europe.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ne surestimez pas l’importance du RGPD sur les manquements, cette société violait allègrement des règles en vigueur en France depuis plus de 40 ans, cf. cet extrait de la délibération de la CNIL :
“contrairement à ce que soutient la société, les manquements retenus portent, pour l’essentiel, sur des obligations que la loi no 78-17 du 6 janvier 1978 modifiée imposait déjà aux responsables de traitement et qui ne sont pas nées du RGPD, y compris s’agissant du principe de minimisation et de limitation de la durée de conservation des données. Elle rappelle, en outre, que les questions relatives à la pseudonymisation des données étaient posées bien avant l’entrée en application du RGPD.”
250 000€ ça me parait dérisoire comme montant
Sparoo est Une société qui gère tout toute seule, qui déteste travailler avec des prestataires externes, car vous savez, quand on sait développer on peut tout faire soit même… Quand l’ego des ingénieurs prouvent leur incompétence totale ou leur volonté de ne surtout pas respecter les lois…
non , pas les ingénieurs , juste un soucis avec la direction.
s’ils avaient au moins quelqu’un d’assez instruit pendant leurs réunions , il aurait pu les informer des faiblesses informatiques , ils auraient du coup recruté quelques administrateurs et ainsi éviter ce qui leur tombe sur la tête actuellement.