Ce qui devait arriver depuis le contrôle de la société SPARTOO effectué par la CNIL en date du 31 Mai 2018 arriva… Par une décision du 28 Juillet 2020, la CNIL a sanctionné la société pour plusieurs manquements importants à la réglementation européenne dite RGPD.
Pour les manquements constatés, la CNIL a sanctionné la société au paiement d’une amende administrative de 250 000 € et a enjoint cette dernière de se mettre en conformité dans un délai de 3 mois sous astreinte de 250 € par jour de retard. Une sanction qui invite tous les acteurs du e-commerce à être particulièrement vigilants…
Mais, en clair, la réglementation européenne sur la protection des données personnelles, dite RGPD, c’est quoi …?
Tout d’abord, le RGPD signifie Règlement Général sur la Protection des Données. Ce dernier encadre le traitement des données personnelles sur tout le territoire de l’Union européenne, en s’adaptant aux évolutions technologiques et à l’usage de celles-ci par les diverses sociétés.
D’après la CNIL, ce contrôle s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce principalement le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant, en harmonisant ces règles en Europe.
La CNIL définit le traitement des données personnelles comme “une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).”
Retour sur les principales règles européennes à respecter et leur interprétation concrète et pratique par l’autorité de contrôle, la CNIL, à travers la sanction qu’elle vient d’imposer à la société SPARTOO.
Le règlement européen est clair dans son principe : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Il s’agit du principe de minimisation des données. Cependant, dans son application, il peut être compliqué de comprendre ce qu’attendent les autorités de contrôle et ce qui est entendu par des données nécessaires au regard des finalités…
Tristement, on pourra apprécier la sanction de la société SPARTOO au moins pour son aspect pédagogue quant à l’interprétation du texte…
À titre d’exemple, en l’espèce, la CNIL a considéré que l’enregistrement systématique et intégral des conservations téléphoniques du service client sont une atteinte à ce principe, à l’encontre d’une part des clients mais aussi des salariés de la société.
Par ailleurs, toujours dans le cas d’espèce, la collecte de la copie de la carte de santé pour la lutte contre la fraude en Italie constitue un manquement au principe de minimisation des données par la société qui exerce son activité au moyen de sites internet déployés dans différents pays de l’Union Européenne, dont l’Italie.
Encore une fois, le règlement européen est clair, mais uniquement dans son principe : « les données à caractère personnel doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, sauf exception liée à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ».
En l’espèce, la CNIL a précisé que si une durée de conservation de 2 ans en base active à compter de la date de dernière activité des prospects pouvait être adéquate, celle de 5 ans était cependant excessive.
La CNIL a également rappelé que la seule ouverture d’un email par un prospect ne permettait pas de faire repartir la durée de conservation des données. En effet, un clic dans l’email est nécessaire.
Par ailleurs, elle a refusé que des données telles que l’email et le mot de passe d’un client soient « hashées » (c’est-à-dire puissent permettre une reconnexion ultérieure du client sur son compte) et non supprimées à l’expiration de la durée de conservation des données.
Sur ce point, le règlement européen prévoit que plusieurs informations doivent être portées à la connaissance de la personne concernée au moment où les données sont obtenues, telles que : « l'indication des destinataires des données collectées et de la base sur laquelle le traitement est effectué ».
En l’espèce, la CNIL reproche à la société de ne pas informer le client du transfert des données pour traiter les appels clients vers Madagascar, en particulier dans sa politique de protection des données.
Sur le même principe, la CNIL reproche à la société de ne pas informer de manière claire et détaillée les salariés du service client de l’enregistrement des conversations et de ses modalités.
Le règlement européen prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
En l’espèce, deux points significatifs relevés par la CNIL doivent être étudiés :
- L’absence de sécurisation des mots de passe des comptes clients
En l’espèce, un mot de passe de 6 caractères pour la création d’un compte n’est pas suffisant en termes de sécurité pour la CNIL.
La CNIL se réfère en effet à ses recommandations données lors de la délibération en date du 22 Juin 2017, qui prévoient qu’un mot de passe est sécurisé lorsqu’il contient au minimum 12 caractères avec des caractères spécifiques à savoir une lettre majuscule, une minuscule, un chiffre et un caractère spécial.
- La réception de scan de carte bancaire par mail
En l’espèce, la société demandait aux clients qui étaient suspectés de fraude de scanner leur carte bancaire par email. La société pouvait ne laisser visibles que les 4 premiers numéros mais la CNIL a considéré que la société collectait les numéros de carte bancaire et a sanctionné le défaut de sécurité dans la transmission des données.
