La CNIL a condamné la plateforme de vente en ligne Spartoo pour violations du RGPD dans une décision du 28 juillet 2020. Quelles fautes étaient reprochées à Spartoo ? Comment éviter une telle condamnation ?
Minimisation des données : ne demandez pas aux internautes plus d’infos que ce qui est strictement nécessaire
La Cnil impose à Spartoo et a fortiori à toutes les entreprises, plateformes de e-commerce comprises, de respecter le principe de minimisation des données. L’idée est plutôt simple. D’après le RGPD, vous avez l’obligation de collecter des données personnelles » adéquates, pertinentes et limitées à la finalité annoncée ». En d’autres termes, vous devez réaliser une collecte des données nécessaires aux besoins de votre activité.
Par exemple, si vous communiquez par newsletter, vous n’avez pas besoin de collecter l’adresse postale et le numéro de téléphone de vos utilisateurs. De même, l’enregistrement de toutes les conversations téléphoniques entre employés du service clients et clients à des fins de formation des salariés n’est pas conforme au principe de minimisation des données.
Suppression des données : faites le ménage régulièrement dans vos bases de données
Il est conseillé aux entreprises qui collectent des données de les supprimer lorsqu’elles n’ont plus vocation à être stockées. C’est le corollaire du principe de limitation des durées de conservation des données. Vous ne pouvez pas conserver des données indéfiniment. Il est nécessaire de prévoir la disparition (ou l’anonymisation) des données en fonction de vos objectifs et des obligations légales.
Vous devez prévoir une durée de conservation pour les données collectées et les supprimer une fois la date arrivée. Dans la décision Spartoo, la Cnil a estimé que bien que Spartoo prévoyait une durée de conservation le fait de ne pas supprimer les données de 3 millions d’utilisateurs inactifs depuis plus de 5 ans était contraire au RGPD.
Informations des personnes : n’oubliez pas d’informer vos internautes… et vos salariés !
Au même titre que les internautes, vos salariés doivent bénéficier d’une information concise, transparente, compréhensible et aisément accessible. Cette obligation a pour objectif de permettre à vos utilisateurs et vos salariés d’avoir connaissance des données collectées et de leurs durées de conservation. Même dans les cas où leur consentement ne serait pas requis, le fait de ne pas informer salariés et internautes constitue une violation du RGPD.
Sécurité des données : imposez des mots de passe fort et stockez-les de manière cryptée
Vous devez garantir à vos utilisateurs la sécurité de leurs données par de moyens simples comme l’obligation pour vos utilisateurs de choisir des mots de passe forts ou encore le chiffrement des données bancaires. La mise en place de simples mécanismes de sécurité peuvent réduire considérablement les risques qui peuvent être rencontrés par vos utilisateurs.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) donnent des conseils très utiles pour identifier et remédier aux problèmes de sécurité informatique sur les plateformes ecommerce.
