Actualités

💸 La CNIL a infligé une amende de 250 000 euros 💸

Faits : Dans le cadre de l’évaluation et de la formation de ses salariés, le site d’e-commerce enregistrait intégralement et de façon permanente les appels téléphoniques reçus par son service client.

Source : SAN 2020-003 du 28 juillet 2020

Manquements relevés :

1. Manquement à l’article 5-1 c du RGPD : Défaut de minimisation des données (principe de proportionnalité)
• La CNIL a considéré que les enregistrements étaient excessifs et intrusifs au regard des finalités poursuivies (formation).
2. Manquement à l’article 32 du RGPD : Sécurité des données
• Aucune mesure technique n’avait été mise en place pour éviter que les données bancaires des clients soient enregistrées lors des appels.
• La société conservait dans sa base, en clair, les données bancaires des clients pendant 15 jours, sans moyens de protection renforcés.
• Les numéros des cartes bancaires n'ont pas à être enregistrés et conservés une fois le paiement réalisé.
3. Manquement à l’article 5-1 e du RGPD : Durée de conservation excessive
• Le site conservait les données clients et prospects pour une durée de 5 ans.
• La CNIL a demandé que la durée de conservation des données prospects soit limitée à 2 ans.
• À l’issue de l’inactivité des clients, le site ne supprimait pas toutes les données, mais transférait dans une autre table les adresses électroniques et mots de passe hachés avec un algorithme SHA-256. Cet algorithme garantit l’intégrité des données mais ne permet pas leur anonymisation (seulement une pseudonymisation).
• Rappel : Dès l’expiration du délai de conservation, les données clients doivent être supprimées de la base active ou anonymisées une fois l’obligation légale expirée.

Conséquences :

• 💸 Amende administrative : 250 000 euros
• 📢 Atteinte à la réputation : Sanction publique