Dans une décision fleuve, la CNIL a sanctionné un acteur majeur du e-commerce pour plusieurs manquements suite à un contrôle réalisé quelques jours après l’entrée en vigueur du RGPD. Plusieurs enseignements : pour la première fois, la CNIL fait usage du mécanisme de « l’autorité chef de file » issu du RGPD et précise sa doctrine concernant les principes de minimisation, de durée de conservation, de transparence vis-à-vis des personnes et de sécurité des données à caractère personnel.
SYNTHESE DE LA DECISION :
La société SPARTOO, spécialisée dans la vente en ligne de chaussures, implantée à Grenoble et employant environ 1 000 salariés, exerce son activité au moyen de 16 sites internet dont 13 sont déployés dans différents pays de l’Union Européenne.
Le 31 mai 2018, la CNIL effectuait une mission de contrôle portant sur les traitements de données relatifs aux clients et prospects ainsi que l’enregistrement des conversations téléphoniques entre les clients et les salariés.
Les contrôleurs identifiaient à cette occasion que la société détenait plus de 11 millions de comptes clients et plus de 30 millions de prospects.
La CNIL constatait les manquements suivants :
- SPARTOO mettait en œuvre un traitement de lutte contre la fraude demandant au Client, lorsque le système 3DS n’était pas validé, d’adresser par email un justificatif de domicile et un scan recto/verso de la carte bancaire ;
- Toutes les conversations téléphoniques du service client étaient systématiquement enregistrées et l’information des salariés sur ce dispositif était lacunaire ;
- La complexité du mot de passe du compte client était insuffisante (minimum 6 caractères identiques) ;
- Les mots de passe étaient stockés en base de données de façon hashé en MD5 ;
- Aucune durée de conservation des données des clients et prospects n’était déterminée ;
- La politique de confidentialité du site ne mentionnait pas les transferts de données vers Madagascar et les bases légales adéquates des traitements ;
- Qu’après un décompte réalisé :
118 768 clients ne s’étaient pas connectés depuis le 25 mai 2008 ;
5 790 121 clients ne s’étaient pas connectés depuis le 25 mai 2015 ;
25 911 675 prospects étaient sans activité́ depuis le 25 mai 2015.
Après avoir notifié les treize autorités de contrôle des pays d’implantation de SPARTOO, la CNIL a engagé une procédure contentieuse en tant qu’autorité chef de file.
Pour ces différents manquements, la CNIL :
- sanctionne SPARTOO à hauteur de 250 000€ d’amende administrative
- rend la décision publique
- enjoint à la société de se mettre en conformité dans un délai de 3 mois, sous astreinte de 250€ d’amende par jour de retard.
Ci-après, une analyse détaillée de la délibération n°SAN-2020-003 du 28 juillet 2020.
1. CHRONOLOGIE DE LA PROCEDURE
30 mars 2018 : Décision de la CNIL de contrôler SPARTOO
31 mai 2018 : Réalisation du contrôle dans les locaux de la société
27 juillet 2018 : Notification de la procédure aux autorités des pays d’implantation de SPARTOO
29 avril 2019 : Désignation d’un rapporteur par la Présidente de la CNIL
19 juin 2019 : Audition de la société par la CNIL
23 septembre 2019 : Notification du Rapport de la CNIL à SPARTOO
28 novembre 2019 : Audience devant la formation restreinte de la CNIL
16 février 2020 : Transmission du projet de sanction aux différentes autorités de contrôle
13 et 17 mars 2020 : Réception des observations des autorités italiennes, portugaises et de Basse Saxe en Allemagne.
28 juillet 2020 : Prononcé de la sanction
2. MANQUEMENTS REPROCHES A SPARTOO PAR LA CNIL :
2.1. L’atteinte au principe de minimisation des données collectées
2.1.1. L’enregistrement systématique des conversations du service client
La CNIL considère que l’enregistrement intégral et systématique des conversations téléphoniques du service client constitue une collecte excessive de données.
Elle prend note que les clients ont la faculté de s’y opposer en appuyant sur une touche mais qu’à défaut, ils sont systématiquement enregistrés.
D’autre part, les salariés ne peuvent pas s’y opposer et l’enregistrement systématique n’est pas justifié par un but de formation des salariés. La CNIL justifie sa décision en expliquant que la personne en charge de la formation n’écoute généralement qu’un seul enregistrement par semaine et qu’il n’est donc pas nécessaire d’enregistrer toutes les conversations.
Les contrôleurs ont également relevé que les enregistrements pouvaient contenir le numéro de carte bancaire des clients passant commande par téléphone.
La CNIL considère que l’enregistrement de données bancaires, stockées de façon non chiffrée, même pendant une durée très restreinte (15 jours) crée un risque inutile de paiements frauduleux.
Pour sa défense, la société SPARTOO opposait le caractère lourd et couteux des développements informatiques permettant de suspendre l’enregistrement de la conversation pendant la communication du numéro de carte et proposait de supprimer ces enregistrements à bref délai (après 1 jour).
La CNIL a été insensible à ces arguments et a sanctionné le manquement au principe de minimisation.
2.1.2. La collecte de la copie de la carte de santé pour la lutte contre la fraude en Italie
Dans le cadre du traitement de lutte contre la fraude, SPARTOO collectait la copie de la carte d’identité et de la carte de santé en cas de suspicion de fraude.
La CNIL considère comme valide la collecte de la carte d’identité mais juge excessive le recueil de la copie de la carte de santé (équivalent de la carte vitale en Italie).
Il convient de noter que la CNIL ne commente pas la pratique consistant à réclamer une copie de la carte bancaire aux clients dans le dispositif de lutte anti-fraude sur le plan de la minimisation. Cette pratique sera toutefois sanctionnée sur le plan de la sécurité des données (cf point 1.4.2ci-dessous).
2.2. L’absence de détermination de durées de conservation des données
2.2.1. Les durées acceptées par la CNIL : 2 ans pour les prospects et 5 ans pour les clients
La CNIL a constaté que la société n’avait déterminé aucune durée de conservation des données.
Lors de son audition, SPARTOO indiquait avoir déterminée une durée de conservation de 5 ans en base active à compter de la date de dernière activité́ des clients et prospects ; cette dernière activité pouvant correspondre par exemple, à une connexion au compte client, à un clic dans une newsletter ou encore à l’ouverture de celle-ci.
Pour autant, il ressortait du dossier que :
- 118 768 clients ne s’étaient pas connectés à leur compte depuis le 25 mai 2008 ;
- 682 164 clients depuis le 25 mai 2010 ;
- 3 620 401 clients depuis le 25 mai 2013
- plus de 25 millions de prospects n’avaient eu aucune activité́ depuis le 25 mai 2015[1]
Pour les prospects, SPARTOO indiquait que si les données étaient conservées pendant 5 ans, les opérations de prospection n’étaient effectuées que pendant les 2 premières années.
La CNIL en déduit que si la durée de conservation des prospects de 2 ans peut être adéquate, une durée de 5 ans est excessive.
Il convient de préciser qu’elle semble tolérer une durée de 5 ans pour les clients (contrairement à sa préconisation habituelle sur le sujet qui est de 3 ans).
2.2.2. Durée de conservation : Point de départ : l’ouverture d’un email n’est pas valable
S’agissant du point de départ de la durée de conservation, La CNIL ajoute que la seule ouverture d’un email par un prospect ne permet pas de faire repartir la durée de conservation des données et qu’un clic dans celui-ci est nécessaire. Il s’agit d’une position classique de l’autorité réitérée à de nombreuses reprises.
2.2.3. La pseudonymisation des données à l’issue de la durée de conservation n’est pas acceptable.
SPARTOO indiquait qu’à l’expiration de la durée de conservation des données, celles-ci étaient supprimées à l’exception de l’email et du mot de passe qui étaient eux hashé en SHA 256 afin de permettre au client de se reconnecter sur son compte.
Il s’agit ici d’une méthode de pseudonymisation des données et non d’anonymisation des données.
Les données étant conservées au-delà de la durée de conservation définie, la CNIL constate un manquement.
2.3. Le défaut d’information complète des clients et des salariés.
S’agissant des traitements concernant les clients, la CNIL reproche à SPARTOO :
1. de ne pas faire figurer dans sa politique de protection des données le transfert des données vers Madagascar pour traiter les appels clients ;
2. d’indiquer dans la politique de confidentialité que l’ensemble des traitements reposaient sur la base légale du consentement alors que tel n’était pas le cas en pratique.
Pour la CNIL, les traitements de lutte contre la fraude et d’achat en ligne doivent reposer sur l’exécution du contrat ou l’intérêt légitime de la société.
S’agissant de l’enregistrement des conversations des salariés du service client, la CNIL reproche à SPARTOO une information incomplète de ceux-ci.
Elle indique que l’ensemble des salariés doivent se voir communiquer un document détaillant les finalités poursuivies par le traitement, la base légale du dispositif, les destinataires des données, la durée de conservation, les droits des salariés et la possibilité d’introduire une réclamation auprès de la CNIL.
2.4. Des manquements à la sécurité des données : la simplicité des mots de passe et l’échange de données par email
2.4.1. Le mot de passe non robuste de SPARTOO
La CNIL considère que le mot de passe de 6 caractères demandé par SPARTOO lors de la création d’un compte est largement insuffisant.
En défense, SPARTOO expliquait que les règles de complexité des mots de passe imposées par la CNIL aboutissaient en réalité à une standardisation de ceux-ci par les clients entrainant un affaiblissement de la sécurité et que plusieurs experts informatiques considéraient cette exigence comme contre-productive pour la sécurité des données.
Cet argument n’a pas convaincu le régulateur qui réitère ses recommandations issues de la délibération du 22 juin 2017 ainsi que la position de l’ANSSI.
Pour rappel, un mot de passe est considéré comme robuste lorsque :
- Soit il comporte au minimum 12 caractères (avec lettre majuscule, lettre minuscule, chiffre et caractère spécial)
- Soit il comporte au moins huit caractères - contenant trois des quatre catégories de caractères et il est accompagné́ d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses.
2.4.2. La réception de scan de carte bancaire par email
La société demandait aux clients suspectés de fraude d’adresser un scan de leur carte bancaire par email et de ne laisser visible que les 4 premiers numéros, les autres pouvant être tronqués.
Pour autant, la CNIL constate que SPARTOO pouvait collecter des numéros de carte bancaire non tronqués.
Elle est donc venue sanctionner cette pratique pour défaut de sécurité dans la transmission des données moyennant un canal non chiffré.
3. SUR LA PROCEDURE CONTENTIEUSE
3.1. La justification du montant de l’amende
Pour sa défense, SPARTOO indiquait n’avoir jamais été condamnée par la CNIL, qu’elle disposait de peu de référentiels avant l’entrée en vigueur du RGPD pour l’aider dans sa mise en conformité, que la CNIL avait annoncé une période de tolérance en ce qui concerne les nouveaux principes du RGPD et qu’une procédure de mise en demeure lui aurait permis de réagir rapidement.
En effet, dans ce dossier, SPARTOO a été contrôlée puis auditionnée plus d’un an après et finalement sanctionnée 2 ans après le contrôle sans n’avoir reçu une quelconque mise en demeure.
Cependant, la CNIL considère que les manquements identifiés portent sur des obligations imposées par la loi avant l’entrée en vigueur du RGPD et que la tolérance invoquée ne peut s’appliquer.
En outre, pour la CNIL, certains manquements sont particulièrement graves :
1. L’enregistrement pendant plusieurs années de l’intégralité́ des conversations téléphoniques des salariés, alors qu’elle n’en n’avait aucune utilité́ et qu’un tel traitement peut s’apparenter à une surveillance constante ;
2. Les manquements concernent des catégories particulières de données (données bancaires) ;
3. Les manquements relatifs à la conservation des données affectent plusieurs milliers de personnes.
Pour ces raisons, la formation restreinte a prononcé une amende administrative de 250 000 € assortie de la publicité de la décision.
3.2. Le choix du mécanisme de l’injonction avec astreinte
Pour la CNIL, dès lors qu’au jour de la clôture de l’instruction, certains manquements n’étaient pas régularisés, il était nécessaire de prononcer une injonction à l’encontre de la société. Cette pratique a déjà été éprouvée dans les sanctions précédentes.
La formation restreinte a ainsi décidé de prononcer une injonction de se mettre en conformité sous astreinte de 250€ par jour de retard passé le délai de 3 mois après notification de la décision.
L’injonction concerne les éléments suivants :
Sur le principe de minimisation des données :
justifier de la fin des enregistrements systématiques des conversations téléphoniques des conseillers ;
Sur la durée de conservation des données :
justifier de la procédure d’archivage intermédiaire des données des clients mise en place, après avoir opéré un tri des données pertinentes à archiver et une suppression des données non pertinentes, ainsi que du point de départ de cet archivage ;
justifier de la restriction des accès des salariés aux données à caractère personnel présentes en base active aux seules personnes ayant à en connaître;
cesser de traiter les données des prospects au-delà du délai à l’issue duquel la société ne les contacte plus (en l’espèce deux ans) et cesser de prendre en compte, comme dernier point de contact émanant de ces derniers, la simple ouverture d’un courriel ;
cesser de conserver les adresses électroniques et mots de passes hachés des anciens clients à l’issue de la période d’inactivité fixée et procéder à la purge de telles données conservées par la société ;
justifier de la suppression des données concernant les clients et prospects au-delà de la période d’inactivité définie ;
Sur l’information des personnes :
procéder à l’information complète des salariés relative à la mise en place d’un dispositif d’enregistrement des conversations téléphoniques ;
procéder à l’information complète des clients, en fournissant une information relative aux différentes bases légales des traitements mis en œuvre par la société ;
Sur la sécurité des données :
mettre en œuvre une politique de gestion des mots de passe contraignante, s’agissant des comptes clients selon l’une des modalités suivantes ;
soit 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
soit 8 caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum dix) ;
Il est à noter que la CNIL a soigneusement évité le sujet sensible des cookies et tags déposés sur le site de SPARTOO. Aucune constatation n’a été faite à ce sujet.
Par cette décision, la CNIL au-delà de sanctionner SPARTOO, décide, en publiant la décision, de rappeler à l’ordre l’ensemble du secteur du e-commerce.
Edouard Verbecq
Avocat Associé
Mayance Avocats
[1] à titre d’exemple, étaient conservées les données de 4 801 596 prospects n’ayant aucune activité́ depuis plus de trois ans pour l’Espagne, 5 616 503 prospects pour l’Italie et 12 millions de prospects pour France