Un cas d’école de ce qu’il convient d’éviter lorsqu’on manipule les données personnelles des clients ou prospects de l’entreprise, mais aussi celles de ses salariés. Par Philippe Zanon et Sylvain Staub
L’enseigne notoire de vente de chaussures en ligne avait fait l’objet d’un contrôle par la Commission en Mai 2018. Celui-ci portait sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client de la société.
À l’issue de ce contrôle, les agents de la CNIL avaient constaté que le client ou prospect de Spartoo pouvait s’opposer à l’enregistrement des appels téléphoniques en appuyant sur une touche de son téléphone. Néanmoins, les paroles des salariés étaient toujours enregistrées, ce qui permettait de les surveiller constamment. Alors que la voix est considérée comme une donnée personnelle, voire comme une donnée biométrique, la CNIL a considéré que la politique de la société Spartoo allait bien au-delà de la finalité prévue à ce traitement, à savoir l’évaluation et la formation des salariés. En effet, il est établi de longue date, indépendamment du RGPD, que la captation de la voix des salariés à des fins de formation et d’évaluation professionnelle, ne doit se faire que par « échantillons », à l’exclusion stricte de toute captation permanente ou exhaustive, qui s’apparente alors à un contrôle d’activité du salarié. La Présidente de la CNIL avait donc décidé d’engager une procédure de sanction à l’encontre de Spartoo en 2019.
Dans sa délibération rendue le 28 Juillet 2020, la CNIL reproche finalement à la société Spartoo de nombreux autres manquements au RGPD, et la décision constitue un cas d’école de ce qu’il convient d’éviter lorsqu’on manipule les données personnelles des clients ou prospects de l’entreprise, mais aussi celles de ses salariés.
Il est important de signaler que la CNIL a agi ici en tant « qu’autorité chef de file », après concertation avec plusieurs autorités de contrôle européennes compte tenu des implantations nationales de Spartoo et de l’ampleur européenne des contrôles effectué
Dans un premier temps, la Commission reprochait à la société Spartoo que l’enregistrement des conversations téléphoniques aux fins de formation des salariés portait atteinte à l’exigence de minimisation des données issue de l’article 5, I, c) du RGPD. Plus précisément, la CNIL déclare que « L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié ». Par ailleurs, la Commission a constaté que Spartoo procédait aussi à l’enregistrement et la conservation des données bancaires des clients dans le cadre de l’enregistrement des conversations téléphoniques, alors qu’une telle donnée n’était évidemment d’aucune nécessité avec la finalité de l’enregistrement précitée. Enfin, la CNIL a sanctionné la pratique de Spartoo qui, en Italie, collectait la copie de la « carte de santé » des clients pour une finalité de lutte contre la fraude. Là encore, la CNIL relevait le caractère excessif et non pertinent de cette pratique.
Dans un second temps, la CNIL a également sanctionné le manquement de Spartoo à la limitation de la durée de conservation des données, sur la base de l’article 5, I, e) du RGPD. La durée de conservation des données des clients fixée à 5 ans par la société Spartoo après le contrôle de la CNIL a été jugée excessive. À cet égard, la CNIL déclarait que « la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans ». Un grief parfaitement justifié, en ce qu’il convient de rappeler qu’une durée de conservation ne peut pas être fixée arbitrairement. Elle doit, comme l’énonce le Guide Pratique de la CNIL relatif aux durées de conservation, être justifiée au regard de la nature des données, des traitements effectués et de la finalité poursuivie. En outre, Spartoo considérait que la simple ouverture d’un courriel de prospection refaisait courir ce point de départ. Cette précision est très importante, et doit être analysée de près par toutes les entreprises qui pratiquent la prospection commerciale par voie électronique. En effet, par héritage de l’ancienne norme simplifiée 48, il était généralement considéré que les données d’anciens clients (qui sont donc redevenus des prospects) ne peuvent être conservées que pendant une durée limitée (3 ans en pratique) à partir du « dernier contact positif » de la personne concernée. Plus précisément, cette personne doit témoigner de sa volonté de rester en contact avec le responsable de traitement. Par conséquent, la CNIL estimait que la simple ouverture d’un mail de prospection laisse courir le délai, au terme duquel les données devront être supprimées.
De surcroît, à l’expiration de ce délai, Spartoo conservait l’adresse électronique des clients ainsi que leurs mots de passe, sous une forme seulement pseudonymisée, et non pas définitivement anonymisée, afin de permettre à ceux-ci de « réactiver leur compte » à l’instar de ce que pratiquent les réseaux sociaux. Spartoo conservait donc les données personnelles, bien que pseudonymisées, au-delà de la période de 5 ans qu’elle avait définie.
En outre, la CNIL a sanctionné un double manquement de Spartoo à son obligation d’information des personnes concernées régi par l’article 13 du RGPD. D’une part, la société Spartoo indiquait apparemment aux visiteurs de son site web qu’elle collectait toutes leurs données sur la base de leur consentement, pour tous les traitements qu’elle en faisait, « alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société ». On constate ici la légèreté avec laquelle le responsable de traitement avait réfléchi aux bases légales l’autorisant à collecter les données des internautes. D’autre part, Spartoo manquait également à son obligation d’information précise de ses salariés, puisque les nouveaux salariés n’étaient pas informés que leur voix était enregistrée dans le cadre de leurs correspondances téléphoniques. Plus précisément, la CNIL reproche à Spartoo le fait que ses « salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits ».
Il convient de rappeler que les notices d’information des salariés doivent être précises, et doivent soigneusement indiquer aux salariés chaque finalité poursuivie, chaque base légale justifiant les traitements correspondants, et les catégories de données personnelles concernées, ainsi que les droits dont ils disposent sur leurs données et les moyens organisationnels leur permettant de les faire valoir.
Enfin, la CNIL a sanctionné un manquement de Spartoo à son obligation de sécurité des données personnelles collectées au sens de l’article 32 du RGPD. En l’occurrence, les mesures prises par Spartoo, notamment « de blocage d’une minute du compte après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute », ainsi que la modification de la longueur du mot de passe portée à 8 caractères, n’ont pas été jugées par la CNIL comme garantissant un moyen efficace de sécurisation des données. Selon elle, « La robustesse d’un mot de passe composé de huit caractères et de seulement une catégorie de caractères, est très faible et que la société ne démontre à aucun moment en quoi un mot de passe court et simple serait susceptible de résister davantage à une attaque par force brute qu’un mot de passe composé de davantage de caractères ainsi que plusieurs catégories de caractères ». Là encore, Spartoo ne se référait pas à minima à l’état de l’art en matière de robustesse des mots de passe. De surcroît, il est apparu que Spartoo conservait les données des cartes bancaires utilisées par les clients pour leurs commandes pendant une durée de 6 mois, ce qui est une durée trop longue, et un risque trop grand, au regard de la finalité poursuivie. Cette finalité, par ailleurs aisément acceptable, donnait en effet lieu à une conservation excessive et insuffisamment sécurisée, et exposait donc les personnes concernées à des risques que la seule lutte contre la fraude ne permettait pas de justifier.
Compte tenu de la gravité de ces nombreux manquements existant déjà avant l’entrée en vigueur du RGPD, ainsi que du nombre considérable de données conservées dans une durée excessive, la CNIL condamne en conséquence la société Spartoo au paiement d’une amende de 250.000 euros et l’enjoint de se conformer aux obligations du RGPD dans un délai de trois mois à compter de la délibération, et ce, sous astreinte de 250 euros par jour de retard à l’issue de ce délai. En outre, la Commission décide de publier la délibération, afin qu’elle serve d’exemple.
Il est capital que les entreprises comprennent bien l’ensemble des exigences du RGPD, notamment dans la détermination des bases légales, dans la détermination des durées de conservation, dans le choix des mesures de sécurité, et dans le détail de l’information due aux personnes concernées. Jusqu’en mai 2018, Spartoo avait bénéficié, comme toute organisation, d’un délai de 2 ans pour bien comprendre ses obligations et se mettre en conformité. La sanction peut donc sembler largement justifiée.
