Le 28 juillet, la CNIL a prononcé des sanctions publiques à l’encontre de la société Spartoo pour violation du RGPD, en collaboration avec ses homologues européennes. L’étude de l’affaire nous éclaire sur des exemples concrets de manquements sanctionnables sur le fondement du RGPD.

La procédure : coopération européenne pour une enquête à grande échelle

Suite à un contrôle datant initialement de 2018, une procédure de sanction a été ouverte par la CNIL, en sa qualité d’autorité chef de file. Cela signifie que l’autorité française de protection des données a coopéré avec ses homologues européens, la société opérant sur le territoire de plusieurs États membres.

En effet, le RGPD étant un texte d’application européenne, le Règlement prévoit un mécanisme de coopération entre les autorités de contrôle, afin de permettre une application collaborative et harmonisée des règles relatives à la protection des données. Si des divergences demeurent notables entre les activités de contrôle des autorités européennes, les articles 60 à 63 du RGPD permettent ainsi de prendre en compte les activités de traitement d’une entité sur l’ensemble des pays concernés, dans le cadre d’enquêtes et le cas échéant de sanctions communes.

Pour cela, en cas de traitements transfrontaliers, une autorité de contrôle nationale doit être désignée comme chef de file, afin de coordonner l’action de ses homologues dans un esprit de guichet unique qui a vocation à simplifier les recours.

Étude de cas : les manquements de la société Spartoo au RGPD

L’étude de la décision de sanction permet de revenir sur les implication pratiques des règles posées par le RGPD, et les risques encourus en cas de manquement de conformité.

Minimisation des données

On pourrait penser que ce principe, posé à l’article 5-1 c) du Règlement, n’ait qu’une portée théorique, pour guider l’interprétation des règles du RGPD. Il n’en est rien.

En l’espèce, il a été constaté que la société enregistrait l’intégralité des conversation téléphoniques du service client. Or, ces enregistrements étaient destinés à permettre des actions de formation, pour lesquelles la personne en charge n’utilisait qu’un enregistrement par semaine et par salarié. La collecte était donc excessive au regard de la finalité poursuivie, et ce faisant violait le principe de minimisation.

Sur la question de la minimisation, il s’agit donc de se poser la question de la nécessité de la collecte, selon une appréciation de proportionnalité au regard des objectifs poursuivis et affichés du traitement.

Limitation de la durée de conservation des données

Également évoquée à l’article 5 (article 5-1 e) du RGPD), la règle de limitation de la durée de conservation des données personnelles rejoint l’esprit du principe de minimisation : il s’agit en substance de ne conserver les données qu’aussi longtemps qu’elles sont effectivement nécessaires pour accomplir la finalité poursuivie. La première étape pour se conformer à cette règle est donc de fixer une durée de conservation pour les données, laquelle doit être justifiée puis effectivement mise en œuvre.

Dans l’affaire, Spartoo n’avait pas défini de durée au début de la procédure, puis la durée fixée entre temps apparaissait comme excessive car injustifiée au regard de l’utilisation qui était faite des données.

La CNIL indique ainsi que

« après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD. »

NB. On retrouve ici la distinction essentielle entre pseudonymisation (opération réversible n’empêchant pas d’identifier la personne) et anonymisation (opération irréversible, qui permet de sortir du champ des obligations règlementaires).

Information des personnes

Principe directeur du RGPD, la transparence exige une information claire et précise des personnes concernées quant aux traitements de leurs données à caractère personnel (article 13 du RGPD).

Au regard des clients par exemple, la procédure a relevé que la politique de confidentialité du site web n’informait pas les utilisateurs de l’intégralité des bases légales des traitements, puisque seul le consentement était mentionné, alors que certains traitements se fondaient sur le contrat ou encore l’intérêt légitime du responsable de traitement.

Il est donc essentiel que les mentions et autres textes d’information légale comportent l’ensemble des éléments prévus par la règlementation, pour ne pas risquer la qualification d’une violation du Règlement.

Sécurité des données

Enfin, la société se voit reprocher l’insuffisance des mesures mises en œuvre pour assurer la sécurité des données traitées, obligation fixée notamment à l’article 32 du RGPD. Là encore, il s’agit d’une appréciation circonstanciée du respect des règles. En l’espèce, la CNIL reproche notamment à Spartoo de ne pas avoir imposé de règles suffisamment strictes pour assurer la solidité des mots de passe ouvrant l’accès aux comptes clients.

Les mesures prises par les acteurs des traitements pour assurer la sécurité des données doivent donc être adaptées au niveau de risque afin de garantir une protection adaptée, au risque de constituer un manquement passible de sanction.

La sanction : 250 000 euros d’amende, injonction et publicité

Comme prévu par le Règlement, la CNIL a alors pris en considération le nombre et la gravité des manquements constatés, le type et l’échelle des données traitées (données bancaires), le statut et le nombre de personnes concernées (des millions), pour prononcer une sanction proportionnée aux violations qualifiées :

  • Amende administrative de 250 000 euros
  • Publicité de la décision, ce qui peut affecter l’image de marque et la confiance des utilisateurs
  • Injonction à la mise en conformité des traitements sous 3 mois, avec astreinte de 250 euros par jour de retard

On notera enfin que la décision prend en compte le fait que de nombreux manquements portent sur des obligations qui préexistaient au RGPD, sans tolérance possible sur la question des délais de mise en conformité.

>> Lire la décision ici >>