Pour la première fois, la CNIL a adopté une décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO.
La société SPARTOO agit dans le secteur de la vente en ligne de chaussures dans treize pays de l’Union européenne.
A la suite d’un contrôle en 2018 de la société, la CNIL a constaté des manquements concernant les données des clients, des prospects et des salariés. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de la société en 2019.
Les clients et prospects de la société concernés étant situés dans plusieurs pays européens, la CNIL a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction.

La formation restreinte de la CNIL, chargée de prononcer les sanctions a jugé que la société avait manqué à plusieurs obligations prévues par le RGPD :

- Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)
La CNIL a considéré que l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif et injustifié.
L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.
Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente.

- Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)
Aucune durée de conservation des données des clients et des prospects n’était mise en place par la société lors du contrôle de la CNIL. La formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients.
Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité alors qu’elle n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.
La formation restreinte précise que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – ce qui permet de justifier la conservation de leurs données – dans la mesure où ce message peut être ouvert involontairement par celle-ci.

- Un manquement à l’obligation d’information des personnes (article 13 du RGPD)
L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

- Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)
S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.
Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.


Considérant le nombre important de manquements, la formation restreinte a prononcé une amende de 250 000 euros et décidé de rendre publique sa sanction. Elle a notamment pris en considération la gravité des manquements, en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires. Elle a également tenu compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects).
La formation restreinte a également rappelé que plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD. La formation restreinte a enfin enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard.