Sanction de la formation restreinte de la Cnil à l’encontre de Spartoo : amende administrative de 250 000 euros et injonction sous astreinte de se conformer au RGPD

L’entreprise française Spartoo de vente de chaussures en ligne a été sanctionnée par la formation restreinte de la Cnil, à l’occasion d’une délibération en date du 28 juillet 2020, pour plusieurs manquements à la réglementation en matière de données à caractère personnel de leurs clients et prospects.

En effet, en 2018, la Cnil avait procédé à une mission de contrôle dans les locaux de la société Spartoo, portant sur la vérification du respect par cette dernière dispositions applicables en matière de protection des données à caractère personnel, et plus particulièrement s’agissant des traitements de données à caractère personnel des clients et des prospects de la société Spartoo, ainsi que de l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société.

Suite aux constats effectués lors de cette mission de vérification, une procédure de sanction a été enclenchée en 2019, laquelle a mené à la présente décision.

 

*

*           *

 

DE MULTIPLES MANQUEMENTS A LA REGLEMENTATION EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Le manquement à l’obligation de minimisation des données (RGPD, article 5-1 c)

En premier lieu, la formation restreinte de la Cnil rappelle que l’article 5-1 c) du RGPD dispose que les données à caractère personnel collectées et traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (cf. principe de minimisation des données).

Elle relève ensuite que :

  • Spartoo procédait à l’enregistrement intégral et permanent des conversations téléphoniques des salariés du service client « sans que ceux-ci aient la possibilité de s’y opposer», et ce de manière non nécessairement justifié ;
  • un tel enregistrement impliquait nécessairement l’enregistrement des coordonnées bancaires des clients passant commande par téléphone, données « qui compte tenu de leur nature et des risques de fraude associés doivent faire l’objet d’une protection renforcée de la part des responsables de traitement».

La formation restreinte en conclut que la société Spartoo enregistrait et conservait des données dont elle n’avait aucun usage au regard de la finalité poursuivie par le traitement en cause, à savoir la formation des salariés, et considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD est constitué.

La formation restreinte de la Cnil ajoute que :

  • Spartoo collectait, en Italie, dans le cadre de la lutte contre la fraude, la copie de la carte de santétessera sanitaria) et de la carte d’identité en cours de validité, alors que « seule la collecte de la carte d’identité était pertinente au regard de la finalité du traitement mis en œuvre ».

Elle en conclut là encore qu’un manquement à l’article 5-1-c) du RGPD est constitué.

 

Le manquement à l’obligation de limitation de la durée de conservation des données (RGPD article 5-1 e)

En deuxième lieu, la formation restreinte de la Cnil rappelle que l’article 5-1 e) du RGPD dispose que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Elle relève ensuite que :

  • Spartoo conservait les données des clients et prospects pour une durée excessive au regard des finalités poursuivies ;
  • le point de départ de la durée de conservation des données recommençait à courir à chaque ouverture d’un email de prospection par la personne destinataire, alors que la simple ouverture d’un courriel de prospection par une personne ne peut pas être considérée comme un contact émanant du destinataire de ce courriel ;
  • à l’expiration de la durée de conservation, les données des clients n’étaient pas toutes supprimées mais que l’adresse email et le mot de passe des clients étaient conservées, sans qu’une limitation de durée ait été déterminée, après avoir été hachées par l’utilisation de l’algorithme SHA-256; or la formation restreinte rappelle que cette fonction de hachage permettant d’assurer l’intégrité des données personnelles traitées par la société, et que s’il s’agit, à ce jour, d’une fonction qui ne peut être inversée et est donc considérée par l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la CNIL comme garantissant un niveau de sécurité suffisant des données, celle-ci permet juste de pseudonymiser, et pas d’anonymiser, les données et donc ne permet pas de justifier leur conservation de manière indéfinie par un responsable de traitement.

La formation restreinte considère donc que la société a, là encore, méconnu les dispositions de l’article 5-1 e) du RGPD.

 

Le manquement à l’obligation d’information des personnes concernées (RGPD, art. 13)

En troisième lieu, la formation restreinte de la Cnil rappelle que « l’article 13 du RGPD exige du responsable de traitement qu’il fournisse, au moment où les données sont collectées, les informations relatives à son identité et ses coordonnées, celles du délégué à la protection des données, les finalités du traitement et sa base juridique, les destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle. »

Elle précise alors s’agissant des données des clients de la société Spartoo que la politique de confidentialité des données, disponible sur ses sites internet, n’est pas complète, notamment en ce qu’elle ne mentionne pas par exemple tous les flux transfrontières de données vers des Etats hors Union Européenne et qu’une information granulaire relative à la base juridique de chaque traitement devrait être fournie pour chaque traitement mis en œuvre au sein de ladite politique, ce qui n’est pas le cas. La formation restreinte retient donc un manquement de Spartoo à son obligation d’information des personnes concernées.

En ce qui concerne les données des salariés, la formation restreinte de la Cnil retient que la société a manqué à son obligation d’information en ne les avertissant pas de manière individuelle de l’enregistrement de leurs conversations téléphoniques.

 

Le manquement à l’obligation de sécurité des données à caractère personnel (RGPD art. 32)

En dernier lieu, la formation restreinte de la Cnil précise que l’article 32-1 du RGPD dispose : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et notamment des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

Puis la formation restreinte de la Cnil relève que :

  • contrairement à ce que soutient Spartoo, la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci; que pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le mot de passe doit comporter au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou le mot de passe doit comporter au moins huit caractères – contenant trois de ces quatre catégories de caractères – et être accompagné d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses ; que la nécessité d’un mot de passe fort est également soulignée par l’ANSSI, qui indique qu’« un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules » ;
  • la robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que Spartoo ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ;
  • les mots de passe mis en place par la société pour accéder aux comptes crées sur son site web ne correspondent donc pas aux exigences requises en termes de robustesse.

En outre, la formation restreinte de la Cnil ajoute que :

  • Spartoo demandait à ses clients, dans le cadre de la lutte contre la fraude, de lui transmettre par mail un scan de la carte bancaire utilisée lors de la commande et conservait les scans de cartes bancaires non occultés, « en clair », dans les messageries électroniques des salariés ou encore dans la base de données de la société.

La formation restreinte considère donc que la société n’a pas mis en place des mesures de sécurité permettant de garantir la sécurité des données de ses clients, et qu’un manquement à l’article 32 précité est constitué.

 

PREMIER RECOURS A LA PROCEDURE DE L’ARTICLE 56 DU RGPD

Au-delà d’être une décision « classique » de sanction, cette délibération de la formation restreinte de la Cnil est également la première décision lors de laquelle a été mis en place la procédure de coopération entre les autorités européennes de contrôle (RGPD, art 56), en raison de la présence commerciale de cette entreprise dans treize Etats membres de l’Union européenne.

En effet, la particularité de cette décision réside dans le recours pour la première fois à l’article 56 précité, applicable dans le cadre d’un traitement transfrontalier à savoir :

  • « un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou
  • un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres».

L’article 56 du RGPD précité dispose que dans une telle hypothèse : « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60 », cet article 60 précisant que la procédure applicable à la coopération des autorités européennes, comme suit : « L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile. »

 

En l’espèce, la Cnil a relevé que le traitement mis en œuvre par la société Spartoo était constitutif d’un traitement transfrontalier. C’est pourquoi elle a coopéré, dans le cadre de la procédure précitée, avec les autres autorités de contrôle européennes en :

  • informant initialement l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par la société Spartoo et ouvrant la procédure pour la déclaration des autorités concernées sur ce cas ;
  • communiquant le projet de décision de la formation restreinte de la Cnil aux autres autorités de contrôle européenne concernées ;
  • tenant compte des objections motivées et pertinentes des autorités de contrôle ayant fait un retour sur ce projet de décision.

 

*           *

*

 

La formation restreinte de la Cnil a donc :

  • sanctionné la société Spartoo d’une amende administrative à hauteur de 250 000 euros;
  • prononcé à l’égard de cette dernière une injonction de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous peine d’une astreinte d’un montant de 250 euros par jour de retard ;
  • ainsi qu’une sanction complémentaire de publication pour une durée de deux ans.

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

 

 

Le pôle IT & Data protection d’Agil’IT accompagne ses clients dans la mise en conformité de leurs traitements de données à caractère personnel à la règlementation applicable.

 

 

Par AGIL’IT – Pôle ITData protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée