La CNIL, en tant que « chef de file », a adopté sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO.
La CNIL a relevé les manquements suivants:
– Un manquement au principe de minimisation des données (article 5-1 c) du RGPD concernant notamment l’enregistrement intégral et permanent des appels téléphoniques et l’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone;
– Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD):
• La formation restreinte considère que la société n’a pas établi en quoi la conservation des données des prospects (5 ans), qui sont des personnes n’ayant jamais réalisé de commande sur le site de la société ou d’anciens clients dont les données sont utilisées à des fins de prospection après la fin de la relation commerciale, est nécessaire au-delà du délai de deux ans au cours duquel elle effectue ses opérations de prospection.
• Sur le point de départ du délai de conservation des données des prospects : la seule ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect alors même que les prospects n’ont pas démontré, par un acte clair, un intérêt pour les produits ou services de la société pendant plusieurs années.
• Sur la suppression des données : en ne supprimant pas l’intégralité des données conservées à l’issue de la durée de conservation (conservation de l’adresse électronique des clients ainsi que des mots de passe pour se reconnecter à leur compte si besoin, sous une forme pseudonymisée / hash avec SHA 256), la société conserve les données en cause pendant une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
• La société devra justifier de la suppression des données concernant les clients au-delà de la période d’inactivité définie, dont il appartiendra à la société de justifier.
Un manquement à l’obligation d’information des personnes (article 13 du RGPD) sur les transferts vers un pays tiers mais aussi en raison du fait que l’article 13 du RGPD exige une information granulaire relative à la base juridique de chaque traitement;
Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD), en particulier en raison de la faiblesse des mots de passe.
Plus d’informations ici
