Données personnelles : un acteur du e-commerce se fait taper sur les doigts

15/10/2020

L’article 5 du RGPD prévoit que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » et doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». La CNIL, par une délibération du 28 juillet 2020, a condamné la société SPARTOO notamment pour manquement à ces deux principes de minimisation et de limitation de la durée de conservation, ainsi qu’aux obligations d’information et de sécurité.

 

Sur le manquement au principe de minimisation des données

 

La société SPARTOO procédait à l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client.

 

Pour sa défense, elle soutenait que les enregistrements téléphoniques n’étaient ni permanents ni systématiques dans la mesure où les clients avaient la possibilité de s’opposer à l’enregistrement de l’appel.

 

La CNIL a relevé que même si certains clients s’opposaient à l’enregistrement de l’appel téléphonique passé, la société mettait en œuvre un traitement permettant d’enregistrer toutes les conversations téléphoniques de ses salariés, sans qu’ils puissent avoir la possibilité de s’y opposer.

 

Ce procédé a donc été jugé particulièrement intrusif et donc excessif au regard de la finalité d’évaluation des salariés par la société.

 

Sur le manquement au principe de limitation de durée de conservation 

 

La société a informé la CNIL qu’aucune durée de conservation des données des clients et prospects n’avait été déterminée et qu’elle ne procédait à aucun effacement régulier ou archivage des données à l’issue d’une période définie.

 

La société conservait l’intégralité des données de ses anciens clients alors même que beaucoup étaient inactifs depuis un certain nombre d’années.

 

Sur ce point, la société s’est défendue en invoquant le fait que seule la responsable juridique avait accès aux données.

 

La CNIL a répondu que la question de l’accès était totalement indépendante de la question de la conservation des données personnelles. 

 

Précision intéressante également, la CNIL a considéré que le point de départ du délai de conservation des données ne pouvait avoir lieu au jour de la dernière ouverture par le client d’un mail de prospection. Selon elle, « lorsque le point de départ du délai de conservation des données est le dernier contact émanant du prospect, il doit s’agir d’un événement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel », ce qui n’est pas le cas pour la simple ouverture d’un courriel qui peut se faire involontairement.

 

Ces différents manquements ont donc valu à la société SPARTOO d’être condamnée à une amende d’un montant de 250 000 € assortie d’une injonction de se mettre en conformité sous astreinte.