Le site de vente de chaussures Spartoo vient de prendre une sanction financière de 250 000 euros d’amende de la part de la CNIL. L’entreprise était loin de respecter les règles du RGPD sur la protection des données.

Pas de trêve estivale pour la protection des données personnelles. Ce mercredi 5 août, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une sanction financière de 250 000 euros, assortie d’une communication publique de la peine, à la société Spartoo. Il était reproché au site de vente de chaussures plusieurs infractions au Règlement général sur la protection des données (RGPD).

Et ces infractions étaient loin d’être anodines : parmi les principaux reproches adressés à Spartoo figurent en particulier une mauvaise protection des données bancaires des clients et une conservation beaucoup trop longue de certaines informations personnelles — il faut dire que l’entreprise n’avait tout simplement pas mis en place de politique fixant une durée de conservation maximale de ces données.

Spartoo

La page d'accueil de Spartoo.

Hormis des problèmes sur la sécurité des données, la CNIL a relevé trois autres domaines où Spartoo n’a pas bien tenu compte des règles du RGPD : la minimisation des données (qui consiste à ne collecter que ce qui est nécessaire, et juste pour le temps de la finalité qui est poursuivie), le manque d’information aux personnes sur les traitements en jeu et leurs bases légales, et la durée de conservation des données.

À la suite de la publication de la décision de la CNIL, Spartoo a réagi sur Twitter en publiant un message indiquant avoir pris acte de la sanction prononcée par l’autorité administrative indépendante. L’entreprise déclare s’engager à apporter les modifications le plus vite possible : il faut dire que la société est sous le coup d’une astreinte de 250 euros par jour de retard et qu’elle a trois mois pour se conformer.

Une gestion trop risquée des CB

Concernant les données bancaires, la CNIL a découvert que les informations des cartes bleues étaient conservées en clair pendant six mois — plus exactement, l’entreprise collectait des photographies ou des scans « contenant l’intégralité du numéro de la carte bancaire », et que ces fichiers étaient conservés pendant six mois dans sa base de données sans aucun chiffrement particulier.

Cette politique « ne permet pas de garantir la sécurité des données bancaires des clients », constate poliment la CNIL dans son communiqué. D’autant que la délibération précise en outre que le dispositif mis en place par Spartoo pour récupérer ces fichiers n’était pas non plus sécurisé : les informations étaient envoyées en clair, sans aucun chiffrement, ce qui pouvait les exposer à des tiers malveillants.

Pour sa défense, Spartoo avait avancé son droit d’amasser les dates de fin de validité et les numéros de carte bancaire tronqués dans le cadre d’une stratégie de lutte contre la fraude. La CNIL reconnaît bien sûr qu’une telle finalité autorise le site à demander à ses clients des pièces justificatives. Cependant, Spartoo est allé trop loin dans cette démarche, car le feu vert de la CNIL concernant des numéros tronqués, pas complets.

Simon D

Détail d’un numéro de CB. // Source : Simon D

Une mauvaise politique des mots de passe

Parmi les autres écarts relevés au cours des contrôles de la CNIL figure la gestion des mots de passe. Le problème n’est pas que ceux-ci n’étaient pas correctement sécurisés, mais que la société encourageait plutôt les internautes à opter pour des mots de passe courts et simples, alors que la « longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de ceux-ci ».

Ici, Spartoo autorisait des mots de passe composés de 8 caractères (6, auparavant) et provenant que d’une seule catégorie de caractères (par exemple les lettres de l’alphabet latin). C’est « très faible», explique la CNIL. Et Spartoo n’a pas démontré en quoi un tel mot de passe « serait susceptible de résister davantage à une attaque par force brute », c’est-à-dire une attaque qui teste toutes les combinaisons possibles.

Pour la CNIL, Spartoo doit passer le nombre de caractères à 12, et exiger des caractères variés. Il faut aussi prévoir un mécanisme de blocage temporaire du compte après plusieurs échecs. Spartoo en a un, qui dure une minute, après 19 ratés à partir d’une même adresse IP, en moins d’une minute. Enfin, un outil contre les tests automatisés, comme un captcha, est conseillé.

Trop de données gardées, et trop longtemps

Sur la minimisation des données, la CNIL a noté que Spartoo procédait à l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client, ce qui ne servait à rien, car cette démarche, justifiée à des fins de formation et de contrôle du personnel, et à des fins de démarche qualité, n’impliquait qu’une seule écoute par semaine et par salarié.

Quant à la rétention des données, « aucune durée de conservation des données des clients et des prospects n’était mise en place par la société », déplore la CNIL. Elle « n’effaçait pas régulièrement les données personnelles et ne les archivait pas », ajoute-t-elle. Une limite à cinq ans a depuis été instituée. La commission a aussi critiqué l’appréciation de Spartoo quant aux intentions supposées du client.

En effet, la CNIL considère que le seul fait d’ouvrir un mail de prospection « ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société », car il peut très bien s’agir d’une ouverture involontaire. Or, Spartoo percevait cette ouverture comme une marque d’intérêt de l’internaute et que, donc, elle pouvait collecter leurs données ou en prolonger la conservation.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.