Dans cette décision riche d’enseignements, la CNIL reprochait à la société SPARTOO :
– d’avoir procédé à l’enregistrement systématique de l’intégralité des conversations passées entre les clients et les salariés du service client, violant ainsi le principe de minimisation des données (article 5.1 du RGPD) ;
– d’avoir conservé des données dont elle n’avait pas besoin au regard de l’objectif poursuivi de formation des salariés ;
– de ne pas avoir respecté l’obligation d’information prévue à l’article 13 du RGPD, d’une part à l’égard des clients, en omettant d’indiquer dans la politique de confidentialité le transfert de leurs données vers Madagascar, et, d’autre part, à l’égard des salariés non régulièrement informés de la mise en place du dispositif permanent d’enregistrement de leurs conversations.
Par ailleurs, la CNIL indique que la conservation de données de prospects ne peut excéder deux ans, sanctionnant ainsi la société pour avoir conservé, à des fins de prospection, l’intégralité des données de certains clients inactifs depuis 2008.
Enfin, la CNIL considère que les mots de passe requis pour l’authentification du client ne sont pas suffisamment complexes et sanctionne SPARTOO pour manquement à l’obligation de sécurité (article 32 du RGPD).
Au regard de ce qui précède, la société SPARTOO s’est ainsi vu infliger une amende d’un montant de 250 000 euros et l’obligation de se mettre en conformité.
Retrouvez tous les articles de la newsletter IP du mois de septembre sur ce lien.