[18 aout 2020] La délibération CNIL Spartoo n°SAN 2020-003 du 28 juillet 2020 n’est pas un tremblement de terre pour celles et ceux qui s’intéressent à la protection des données personnelles.
Pourtant, cette décision de la CNIL – la première publiée en 2020 – est particulièrement intéressante car elle permet de faire un point sur quelques règles centrales du RGPD.
Pour la première fois à ma connaissance, cette décision de condamnation est fondée sur des manquements à la législation « données personnelles » à la fois juridiques et techniques.
[mise à jour du 5/12/2020 : si vous souhaitez mettre cette jurisprudence en perspective avec l’ensemble des décisions de la CNIl, du Conseil d’état et de la CJUE, cliquez ici pour accéder à ma présentation d’octobre 2020]
délibération CNIL Spartoo : le plan de cette étude
Il m’a semblé intéressant de regrouper les problématiques RGPD visées dans cette décision, notamment celles qui concernent les « garanties juridiques » et celle qui concerne les « garanties techniques ».
A chaque fois, je vous proposerai un récapitulatif des impératifs RGPD, pour envisager ensuite, systématiquement, le fondement de la condamnation prononcée.
Nous terminerons avec les risques de condamnation encourus et la condamnation effectivement prononcée.
délibération CNIL Spartoo : l'intro en BD
délibération CNIL Spartoo : rappel des 6 principes du RGPD
La plupart de ces principes existaient dans la loi « Informatique et Libertés » depuis 1978.
Bien que le RGPD soit en application depuis plus de 2 ans, il ne nous parait pas inutile de rappeler ces grands principes.
Vous en trouverez le détail dans le slider juste en dessous.
le principe de "minimisation"
Le « responsable de traitement » a l’obligation de ne collecter QUE les données pertinentes pour chaque traitement concerné :
– d’abord, le principe de minimisation ne permet pas à un employeur d’enregistrer systématiquement la totalité des conversations téléphoniques de ses salariés ;
– ensuite, il n’est pas pertinent pour un responsable de traitement de collecter des données bancaires de ses clients pour « la formation de ses salariés »…
– enfin, la CNIL rappelle qu’il n’est pas pertinent pour une entreprise de collecter les données de santé de ses clients afin d’assurer la « détection de la fraude ».
L’application du RGPD exige un minimum de bon sens, qui manifestement faisait défaut à la société controlée…
la conservation à durée limitée des données collectées
Sur ce point, le constat de la CNIL est simple : l’entreprise conservait les données de ses clients / prospects sans jamais les effacer.
De plus, et de manière pédagogique, la CNIL rappelle que les données de prospects peuvent être conservées pendant une durée de deux ans.
Deux ans à compter du dernier acte positif du prospect.
Précision utile de la CNIL (je cite) pour savoir à compter de quand ce délai doit courir :
(j’invite les services marketing à lire attentivement ces quelques lignes)
« … lorsque le point de départ du délai de conservation des données est le dernier contact émanant du prospect…
il doit s’agir d’un évènement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel.
Cependant, la seule ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect…
dans la mesure où celui-ci peut être ouvert involontairement du fait des modalités de fonctionnement du logiciel de messagerie utilisé ou par erreur« .
le rappel sur la notion de "traitement" et les 6 principes du RGPD dans le slider ci-dessous
délibération CNIL Spartoo : l'obligation d'information des personnes concernées
L’un des intérêts de la délibération « Spartoo » est qu’elle concerne les données des salariés d’une entreprise et les données de ses clients / prospects.
– d’abord, l’entreprise avait « oublié » d’informer ses salariés de l’enregistrement systématique de la totalité des conversations téléphoniques avec les clients… (no comment) ;
– de plus, coté clients, l’entreprise ne fournissait pas d’information sur le transfert des données HORS UE (Madagascar en l’espèce).
La CNIL aurait d’ailleurs pu également condamner Spartoo sur le caractère illégal du transfert des données hors UE.
Ce qui n’a pas été le cas (tant mieux pour elle !).
Pour quelle raison, mystère…
La société Futura en novembre 2019 n’avait pas eu cette chance.
Que ce soit pour la collecte des données relatives aux salariés ou celle des données clients / prospects, je vous propose un (petit) rappel des obligations d’information des personnes concernées en cas de « collecte directe » (article 13 RGPD).
Pour un rappel sur la problématique des transferts de données HORS UE, vous pouvez cliquer sur ce lien qui vous dirigera vers la décision de la CJUE du 16 juillet 2020 annulant le Privacy Shield.
le rappel de l'obligation d'information des personnes concernées en cas de collecte directe dans le slider ci-dessous
délibération CNIL Spartoo : la base juridique de chaque traitement
C’est une des vraies nouveautés du RGPD : chaque traitement de données personnelles doit disposer d’une base légale.
Déjà sur ce point, Spartoo semblait ne pas avoir bien compris les implications de cette obligation, traitement par traitement.
Pour faire « ceinture et bretelles », Spartoo a plaidé que le fondement du consentement – le plus protecteur des droits des personnes concernées – lui permettait d’être conforme au RGPD.
Cette décision de la CNIL est très interessante car elle détaille quelques fondements de traitement SANS consentement.
Vous trouverez dans le slider ci-dessous un rappel des règles du RGPD sur la détermination de la base juridique des traitements de données personnelles les plus courants :
– contrat de travail,
– contrat de vente / service,
– sécurité informatique,
– détection des fraudes en ligne.
les règles du RGPD sur la détermination de la base juridique des traitements de données personnelles dans le slider ci-dessous
délibération CNIL Spartoo : les manquements à l'obligation de sécurité [article 32]
pseudonymisation ? anonymisation ?
Si les concepts de « pseudonymisation » et « d’anonymisation » vous semblent encore obscurs, vous trouvez quelques explications techniques dans le slider ci-dessous.
Pour le détail relatif au protocole de hachage utilisé, je vous renvoie (lâchement) à la lecture de la délibération SAN 2020-003…
Manifestement, l’entreprise condamnée n’était pas complètement au faîte de cette distinction assez… technique…
le droit spécial du chiffrement ?
Mes explications techniques seront précédés d’un rappel sur le chiffrement, ses fonctions et son encadrement légal en France.
Le hachage est une des 3 fonctions de la cryptographie, qui nécessite que toutes les données personnelles (TOUTES) soient effectivement hachées…
La CNIL rappelle ce point de manière très, très claire.
Je vous rappelle par ailleurs – bien que la CNIL ne le précise pas – qu’une entreprise ne peut utiliser des « moyens » de chiffrement que dans le respect de la LCEN de 2004.
délibération CNIL Spartoo : le droit des mots de passe ???
Hé oui… Les juristes ne connaissent pas forcément la politique de l’ANSSI en matière de politique de mots de passe.
N’hésitez pas à aller lire ses « recommandations » du 5 juin 2012.
Oserais-je vous rappelle que ce sont les autorités de contrôle* (type ANSSI ou CNIL) qui fixent le niveau de l’état de l’art ?
Oserais-je (encore) vous rappeler que le non-respect de l’état de l’art, c’est une négligence susceptible d’entrainer la responsabilité du « négligent » ?
Vous aurez compris que, dans cette délibération, le « négligent », c’est la société condamnée…
[* merci Jean-Philippe !]
le droit des mots de passe selon la CNIL
La CNIL n’est pas en reste sur les impératifs techniques relatifs aux mots de passe qui permettent d’accéder à des « données personnelles ».
Mais sa politique (obligatoire) n’est pas très lisible puisqu’elle est composée :
– d’une délibération du 19 janvier 2017;
– d’une délibération « modificative » … du 22 juin 2017… (certes, rapide à lire, elle…).
La CNIL a déjà mis publiquement en demeure une société pour manque de « robustesse » de ses mots de passe permettant d’accéder à des données personnelles.
Vous pouvez (re)lire la délibération CNIL n°MED 2018-043 du 8 octobre 2018 dont la décision Spartoo est un copier-coller !!!
Pour vous simplifier la vie, voilà comment DOIVENT être mis en oeuvre des mots de passe (je cite le point (84) de la délibération CNIL « Spartoo » du 28 juillet 2020) :
« le mot de passe doit comporter au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial…
ou le mot de passe doit comporter au moins huit caractères – contenant trois de ces quatre catégories de caractères – …
et être accompagné d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives),
la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses ».
Maintenant, vous savez ce que vous devez écrire dans vos contrats de service…
le détail des manquements à l'obligation de sécurité dans le slider ci-dessous
Spartoo : quels risques théoriques ? quelle sanction en pratique ?
Déjà, voyons une synthèse des griefs retenus par la CNIL contre la société Spartoo :
les risques théoriques de sanction
Ensuite, quels sont les risques encourus en cas de cumul de non-respect aux obligations du RGPD ?
une « amende administrative » et une injonction sous astreinte
Enfin, voici le montant de la condamnation (bien que la CNIL n’ait pas publié le montant du chiffre d’affaires de référence de Spartoo).
Cette condamnation est – je vous le rappelle – susceptible d’appel (à l’heure ou j’écris ces lignes) :
la politique de « Name and Shame » de la CNIL
En droit pénal, la politique dite du « Name and Shame » s’appelle le principe d’exemplarité de la peine.
Je vous rappelle que la CNIL décide seule du caractère publique (ou non) d’une décision de sanction.
Si la décision Spartoo est numérotée « SAN 2020-003 », c’est que deux précédentes décisions ont été rendues par la CNIL de manière « non publique »…
Je vous rappelle également que la CNIL peut décider d’imposer la publication d’une sanction avec le nom de la personne physique / morale.
Cette décision (unilatérale) peut courir pendant deux ans maximum.
C’est le cas – hélas pour elle – de la décision à l’encontre de la société « Spartoo ».
les risques théoriques de sanction et la condamnation de Spartoo dans le slider ci-dessous
Vous avez aimé les BD illustrant ce post de blog ? les voici dans le slider ci-dessous !
Merci aux éditions Delcourt / Soleil !!!
![La saga de l'été 2020 LES GRANDS LEAKS [podcast No Limit Secu 27 juillet 2020].015](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2021/07/La-saga-de-lete-2020-LES-GRANDS-LEAKS-podcast-No-Limit-Secu-27-juillet-2020.015-768x432.jpeg)
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)