La CNIL sanctionne le site Spartoo pour non-respect du RGPD

Le site d'e-commerce Spartoo, spécialisé dans la vente de chaussures, vient d'être épinglé par la CNIL pour non-respect du RGPD. Le site conserve les données bancaires de ses clients de façon non sécurisée et sur une période trop longue. Spartoo doit se mettre en conformité et devra payer une amende de 250 000 euros.

Le site Spartoo dispose d'un délai de 3 mois pour se mettre en conformité avec le RGPD afin de mieux protéger les données personnelles de ses clients européens. Le montant de l'amende quant à lui, sera de 250 000 euros car il y a eu quatre manquements au RGPD suite à une inspection réalisée en mai 2018.

Faisons le point sur les anomalies relevées par la CNIL vis-à-vis du RGPD.

Le premier point concerne les appels téléphoniques puisque l'historique des appels téléphoniques reçus au service client est conservé sans limites dans le temps. Toujours au niveau des appels téléphoniques, Spartoo conservait les coordonnées bancaires des clients qui effectuaient une commande par téléphone.

Par ailleurs, Spartoo conservait les données de clients inactifs depuis plus de 5 ans, ce qui représente 3 millions de comptes. Au-delà de ces 5 années, les adresses e-mails et les mots de passe des clients sont conservés de manière non anonymisée : ce qui est interdit. Dans le même esprit, les données collectées pour la prospection sont conservées trop longtemps : 5 ans, alors que les prospects inactifs depuis 2 ans ne sont plus contactés. Au niveau des prospects, cela représente 25 millions de comptes.

Ce qui est plus gênant, c'est le problème lié aux coordonnées bancaires. En effet, Spartoo conservait pendant 6 mois l'intégralité des numéros de cartes bancaires utilisés pour passer une commande, le tout sans chiffrement. Autrement dit, les numéros de cartes bancaires étaient stockés en clair dans la base de données.

Enfin, dernier point, la politique de confidentialité du site : d'après la CNIL, elle n'est pas conforme au Règlement Général sur la Protection des Données (RGPD) car elle manque de clarté et de transparence vis-à-vis des clients.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2458 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.