La CNIL a prononcé récemment de nouvelles sanctions dans le courant du mois d’août, à l’encontre d’entités diverses.
Ce mois d’août est marqué par une toute nouvelle décision de la CNIL, réalisée en coopération avec d’autres autorités de contrôle européennes et par un durcissement de la règlementation en matière de contrôle des horaires des employés.
SPARTOO : Sanction de 250 000 euros d’amende et injonction sous astreinte de se conformer au RGPD
La société SPARTOO, société de vente de chaussures en ligne, disposant d’un site web accessible dans 13 pays de l’UE a été sanctionnée par la CNIL, dans une décision du 28 juillet 2020, pour différents manquements au RGPD concernant les données des clients, prospects et salariés en raison notamment du nombre de manquements et du nombre de personnes concernées :
- Un manquement au principe de minimisation des données
La CNIL a considéré que l’enregistrement intégral et permanent de l’ensemble des appels téléphoniques reçus était « excessif » par rapport à la finalité du traitement, tout comme l’enregistrement et la conservation des coordonnées bancaires des clients, lors de commandes réalisées par téléphone. Elle estime donc que les données collectées ne sont pas nécessaires à la finalité du traitement réalisé.
- Un manquement à l’obligation de limitation de la durée de conservation des données
Aucune durée de conservation des données clients et prospects n’était mise en place par la Société SPARTOO qui conservait un nombre important de données d’anciens clients selon la CNIL.
- Un manquement à l’obligation d’information des personnes
Selon la CNIL, les informations fournies par la Politique de confidentialité des données, en ligne sur le site internet n’était pas conforme avec les obligations du RGPD notamment concernant la base légale. En effet, SPARTOO avait indiqué comme seule base légale, le consentement alors que certains traitements étaient nécessaires à l’exécution d’un contrat ou relevaient de l’intérêt légitime de la Société.
De même, la CNIL considère que les salariés n’étaient pas suffisamment informés de l’enregistrement des appels téléphoniques passés par les clients.
- Un manquement à l’obligation de sécurité des données
La CNIL relève que les mots de passe d’accès aux comptes clients n’étaient pas suffisamment robustes et que la conservation « en clair » des numérisations de carte bancaire, ne permettait « pas de garantir la sécurité des données bancaires des clients ».
Badgeuses photo : mise en demeure de plusieurs employeurs
La CNIL a réalisé 4 contrôles suite aux plaintes de plusieurs agents publics et salariés concernant le système de badgeuse mise en place sur leur lieu de travail par leur employeur. En effet, ce dispositif de contrôle d’accès par badge réalise une prise de photo systématique de l’employé à chaque pointage de celui-ci.
Selon la Commission, l’utilisation de ce type de dispositif est excessive au regard de la finalité du traitement visée. Elle considère donc qu’il contrevient au principe de minimisation et met en demeure les organismes concernés de se conformer aux exigences du RGPD en matière de dispositif de contrôle des horaires, dans un délai de 3 mois.
Pour en savoir plus concernant les mises en demeure prononcées par la CNIL, vous pouvez consulter le site de la CNIL en cliquant ici.
