Données personnelles : Spartoo épinglée par la Cnil doit payer 250 000 euros d'amende
Par Laurence Trân - Mis à jour le
- le principe de minimisation des données (article 5-1 c) du RGPD)
- l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)
- l’obligation d’information des personnes (article 13 du RGPD)
- l’obligation d’assurer la sécurité des données (article 32 du RGPD)
Au delà de ces rubriques, la Commission détaille amplement les motifs de cette condamnation. Entre autres, le site enregistre l'ensemble des appels passés au SAV, alors qu'un seul entretien hebdomadaire est nécessaire pour former le personnel. Ce faisant, il conserve -sans raison particulière- les coordonnées bancaires de ses clients passant par téléphone, mais également les données personnelles, pendant une durée de 6 mois et sans aucun chiffrement. Il garde également les mails des clients, sans limite de temps -ce qui est formellement interdit en droit français. A priori, plus de 3 millions de clients sur l'Europe seraient concernés par ces pratiques.
Communiqué de la Cnil
Délibération de la Cnil