L’an passé, nous apprenions que Spartoo faisait partie des sites concernés par la revente de données personnelles au marché noir. Cette année, le site de vente de chaussures en ligne est épinglé par la CNIL qui a décidé de lui infliger une amende de 250 000€ pour avoir enfreint les règles du RGPD, en matière de protection de données.

Une mauvaise protection des données observée

Dans un communiqué, la CNIL a apporté des détails quant à sa décision prise le mercredi 5 août. Suite à un contrôle datant de 2018, la Commission nationale de l’informatique et des libertés a infligé une sanction de 250 000€ à Spartoo. La Commission reproche au site de vente ligne plusieurs infractions liées au RGPD. Il y a dans un premier temps une mauvaise protection des données bancaires des clients ainsi que la conservation trop longue de certaines de leurs données personnelles. La CNIL déplore l’inexistence d’une politique encadrant la conservation des données au sein de l’entreprise.

La CNIL s’est également positionnée sur d’autres problèmes rencontrés suite à son contrôle. Tous sont des manquements au RGPD. Spartoo n’a ainsi pas respecté le principe de minimisation des données, en collectant plus de données que nécessaire. L’entreprise a également commis des manquements sur la communication faite envers les clients, en terme de respect de la législation et de traitement de données.

Selon la CNIL, 3 millions de personnes sont concernées

Après avoir détaillé les raisons de la sanction, la CNIL précise dans son communiqué que les clients français ne sont pas les seuls concernés et qu’au moins 3 millions d’Européens sont touchés par cette conservation illégale de données. Dans certains cas, la Commission met en avant que les données ont été gardées, alors même que le client ne s’est pas connecté à son compte durant les 5 dernières années.

Par ailleurs, Spartoo a réagi sur Twitter, après l’annonce de la CNIL, en s’engageant à effectuer les modifications nécessaires pour se conformer au RGPD.