L'enseigne de vente en ligne Spartoo va devoir s'acquitter d'une amende de 250 000 euros prononcée par la Cnil pour plusieurs "manquements" au RGPD, le règlement européen qui encadre la protection des données personnelles.
Lourde sanction pour le groupe isérois Spartoo qui écope d'une amende de 250 000 euros pour des "manquements" au règlement général sur la protection des données (RGPD). L'enseigne de vente en ligne de chaussures a enfreint plusieurs points de cette réglementation européenne, référence en matière de protection des données informatiques, selon la Commission nationale de l'informatique et des libertés (Cnil).
A la suite de ses investigations menées avec plusieurs autorités de contrôle européennes, la Cnil a noté quatre manquements survenus dans plusieurs pays de l'Union européenne. "L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif", de même que "l'enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone", selon le gendarme français des données personnelles.
La Cnil épingle aussi "la conservation pendant plusieurs années d’un nombre très important de données" de plusieurs milliers de clients ainsi que celles des prospects. Et concernant la sécurité des données, il est reproché à Spartoo de ne pas avoir imposé aux utilisateurs l’utilisation de mots de passe plus robustes. "Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients", ajoute la Cnil.
Outre l'amende, Spartoo dispose d'un délai de trois mois pour mettre son site en conformité avec le RGPD sous astreinte de 250 euros par jour de retard.