La CNIL sanctionne la société SPARTOO pour non respect du RGPD

La CNIL, autorité de contrôle, a dans le cadre de la coopération avec les autorités de contrôle européennes, sanctionné la société SPARTOO. Les manquements sont nombreux. Au quotidien, nous n’avons de cesse de rappeler les fondamentaux du RGPD.

SPARTOO, n’a visiblement pas encore bien intégré les règles et est sanctionnée sur les points suivants:

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

  1. Collecte de tous les enregistrements audio lors des conversations téléphoniques
  2. Conservation des informations bancaires lors desdits enregistrements (finalité formation !)
  3. Collecte de la carte de santé en Italie

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

  1. Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).
  2. Conservation des données prospects 5 ans alors que la société ne relance plus les prospects après la deuxième année sans réponse de leurs parts. La CNIL a donc estimé cette durée excessive.
  3. En rappel la seule ouverture d’un courriel de prospection est insuffisant pour pour démontrer son intérêt pour un service ou un produit de la société.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

  1. l’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
  2. Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

  1. S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.
  2. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Au Final la formation restreinte de la CNIL a prononcé une amende de 250 000 euros avec publication de ladite sanction complété par une mise en demeure de mise en conformité de ses traitements d’ici 3 mois.

RGPD-Experts est là pour vous accompagner dans votre mise en conformité au RGPD, nos formations vous permettrons également de mieux comprendre vos obligations au regard de la règlementation. Une étape primordiale dans votre mise en conformité. Nous vous proposons également de simuler un contrôle de l’autorité pour tester votre structure.