Après avoir relevé plusieurs manquements à des principes et obligations définies par le Règlement général sur la protection des données (minimisation des données, sécurité des données, conservation limitée des données), la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire de 250 000 euros et une injonction sous astreinte à l’encontre de la société SPARTOO (Délibération n°SAN-2020-003 du 28 juillet 2020).

Comment informer les personnes concernées sur les bases légales des traitements mis en œuvre ? Quelles sont les données collectées par téléphone à ne pas conserver dans le cadre de la formation du personnel des plateformes d’appels ? Quels sont les rappels en matière de sécurité des données auxquels la formation restreinte a procédé ?

Comment le manquement au principe de minimisation des données a-t-il été caractérisé ?

  • Enregistrement excessif des appels téléphoniques

La société enregistrait l’intégralité des appels téléphoniques entre ses salariés et clients de manière permanente, à des fins de formation de son personnel.

Toutefois, la formation restreinte de la Cnil a relevé que la société ne justifiait pas la nécessité d’enregistrer toutes les conversations au regard de la finalité poursuivie, puisque la personne en charge des formations « n’écout[ait] généralement qu’un enregistrement par semaine, par salarié ».

Par ailleurs, ce traitement conduisait à la collecte et à l’enregistrement des données bancaires des clients lors des commandes passées par téléphone. La durée de conservation de ces données était initialement de 15 jours, réduite ensuite à un jour après une audition devant la Cnil. Sur ce point, la formation restreinte de la Cnil a d’abord relevé que la société n’avait pas mis en place les mesures nécessaires pour éviter l’enregistrement des données bancaires. Elle a rappelé que la finalité du traitement de ces données était la réalisation des opérations de paiement, et non la formation du personnel de la société. Ainsi, leur enregistrement et conservation au-delà de la durée de l’opération de paiement n’étaient pas justifiés au regard de la finalité poursuivie.

  • Collecte excessive des données dans le cadre de lutte contre la fraude

Dans le cadre de ses obligations relatives à la lutte contre la fraude, la société collecte un certain nombre de documents auprès de ses clients. Concernant les résidents en Italie, les copies de leur carte d’identité ainsi que de leur carte de santé étaient traitées par la société. Étant précisé que la carte de santé italienne contient « un nombre important d’informations appartenant à son détenteur » (nom, prénom, genre, code fiscal, lieu de naissance, etc.).

Ainsi, la formation restreinte de la Cnil a estimé que la copie de la carte d’identité seule permettait de remplir l’objectif de lutte contre la fraude. Certaines informations figurant sur la carte de santé n’étant pas pertinentes au regard de cet objectif. Elle en a donc déduit que la collecte de la copie de cette carte était excessive.

Quelles sont les manquements à l’obligation d’information des personnes concernées ?

  • Information des clients

Afin d’informer ses clients sur les traitements mis en œuvre, la société met à leur disposition une politique de confidentialité des données, accessible sur son site Internet. Toutefois, la formation restreinte de la Cnil a relevé que cette politique n’était pas conforme à l’article 13 du RGPD. En effet, les éléments relatifs au transferts des données relatives aux clients vers Madagascar dans le cadre des appels téléphoniques n’étaient pas précisés. En outre, la société n’indiquait qu’une seule base légale pour l’ensemble des traitements mis en œuvre, à savoir le consentement. Selon la société, ce choix était justifié puisqu’elle considérait que le consentement était la base légale la « plus protectrice pour les personnes ». 

Toutefois, la formation restreinte de la Cnil a rappelé que la société avait plusieurs activités de traitement, comme celles mises en œuvre dans le cadre des achats en ligne ou encore de la lutte contre la fraude. Or, ces dernières ne pouvaient pas être fondées sur le consentement des personnes concernées. Dans ce contexte, la formation restreinte de la Cnil a souligné la nécessité d’identifier une base légale distincte et appropriée pour chaque traitement. En conséquence, elle a également rappelé l’exigence d’information des personnes concernées, « de manière granulaire », sur la base légale de chacun des traitements.

  • Information des salariés

La formation restreinte de la Cnil a relevé que la société ne les informait pas individuellement sur l’enregistrement des appels téléphoniques. En effet, la société a produit certains documents à des fins de démonstration de la fourniture de cette information, tels que des fiches d’évaluation de performance de 2017 et des attestations de trois salariés de 2016 indiquant « qu’ils ont compris le but [des] écoutes et qu’ils peuvent contacter le service juridique pour des informations complémentaires ».

Toutefois, l’information n’était pas délivrée à chacun des salariés. De plus, les nouveaux salariés n’étaient pas non plus informés du dispositif d’enregistrement. Enfin, les documents produits ne contenaient pas l’intégralité des éléments exigés par l’article 13 du RGPD dans le cadre de l’information des personnes concernées (finalité du traitement, base légale, durée de conservation, etc.).

Quid du manquement à l’obligation d’assurer la sécurité des données ?

  • Faiblesse des mots de passe

La formation restreinte de la Cnil a relevé un manquement aux exigences relatives à la robustesse des mots de passe au regard de la délibération n°2017-190 du 22 juin 2017. Lors du contrôle, les agents de la Commission ont constaté que les utilisateurs du site Internet de la société souhaitant créer un compte en ligne pouvaient choisir un mot de passe composé de 6 caractères, comportant une seule catégorie de caractères spéciaux. Après le contrôle, la société a modifié ses règles et a augmenté la longueur du mot de passe à 8 caractères.

Rappelons que lorsque le mot de passe est composé de 8 caractères, la Cnil exige l’utilisation d’au moins trois des quatre types de caractères (majuscules, minuscules, chiffres ou caractère spéciaux) ainsi que la mise en place des mesures de restriction d’accès (par exemple, temporisation d’accès au compte après plusieurs échecs). Ainsi, les règles de composition de mots de passe telles que mises en place par la société initialement n’étaient pas conformes à la délibération n°2017-190 du 22 juin 2017.

La société a fait valoir que la délibération n°2017-190 du 22 juin 2017 faisait « l’objet de contestations par des experts en sécurité » parce que « des règles trop complexes ont entraîné une standardisation des mots de passe ». Ainsi selon la société, les mots de passe courts et simples sont « moins prévisibles pour un éventuel attaquant, l’aléa étant basé sur une logique humaine ».

La formation restreinte de la Cnil a rappelé que la longueur et la complexité des mots de passe étaient « des critères élémentaires permettant d’apprécier la force de celui-ci ». Elle a également rappelé la position de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur ce sujet. Selon cette dernière, « la force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant ».

  • Transmission des copies de cartes bancaires en clair

Dans le cadre des traitements mis en œuvre à des fins de lutte contre la fraude, la société demandait à ses clients la transmission d’une copie de leur carte bancaire. Cette dernière était transmise en clair par courriel. De plus, certaines copies étaient conservées en clair pendant six mois dans la base de données de la société. La formation restreinte s’est appuyée sur ces éléments pour retenir qu’aucune mesure permettant de garantir la sécurité des données bancaires de ses clients avait été mise en place par la société. Ce faisant, elle a retenu un manquement à l’article 32 du RGPD relatif à la sécurité des données.

Sanction prononcée

Pour le prononcé de la sanction pécuniaire de 250 000 euros, la formation restreinte de la Cnil a déclaré avoir pris en compte les facteurs suivants :

  • La gravité de certains manquements, notamment ceux relatifs à l’enregistrement de l’intégralité des conversations téléphoniques pouvant « s’apparenter à une surveillance constante » ainsi qu’à l’information des salariés sur le dispositif d’enregistrement ;
  • La catégorie particulière de données traitées, à savoir les données bancaires, « considérées comme étant des données exposant les personnes à un risque de fraude »;
  • Les mesures prises par la société « pour se mettre partiellement en conformité ».

Étant rappelé que la formation restreinte de la Cnil a également prononcé une injonction de se mettre en conformité sous un délai de trois mois suivant la notification de la délibération, sous astreinte de 250 euros par jour de retard, ainsi que la publicité de la sanction pour une durée de deux ans.