Sarenza a obtenu la condamnation des responsables du piratage de son fichier de clients et prospects par le TGI de Paris. Le tribunal a néanmoins estimé que la société était responsable de 30% de son préjudice subi, du fait de l’absence de règles strictes sur ses codes d’accès. Sans explicitement citer l’obligation de sécurité des données personnelles figurant dans la loi Informatique et libertés, il a sanctionné la société pour son manque de rigueur dans la gestion des identifiants. Une de ses salariées a fait profiter un tiers du fichier qui l’a exploité à son profit. Il sera donc retranché 30 000 € sur les 100 000 € de dommages-intérêts octroyés à Sarenza.
La société qui édite le site de commerce électronique Sarenza.com avait constaté que son fichier de 4,7 millions d’adresses électroniques de clients et de prospects avait été copié, en recevant à des adresses pièges des courriels de promotion du site vingroom.com, édité par la société NA2J. Le responsable du site a reconnu qu’il avait obtenu par une salariée de Sarenza les codes d’accès à la base de données permettant de gérer les e-mainling. L’employée avait utilisé l’identifiant de son supérieur hiérarchique, qui était d’ailleurs utilisé par quatre personnes. Grâce à ce code, l’éditeur de vingroom a accédé aux données personnelles de Sarenza à de nombreuses reprises pendant trois mois. Il a utilisé ces adresses pour sa publicité. Il a aussi commercialisé une partie du fichier auprès des sociétés Vivaki, professionnelles de la publicité, pour différentes campagnes.
Le tribunal a jugé que NA2J et son gérant avaient commis une faute en s’appropriant les adresses électroniques des clients et prospects de Sarenza à son insu et sans bourse déliée afin d’en tirer un profit personnel. Il a également estimé que les sociétés Vivaki avaient fait preuve de négligence en achetant des fichiers très bon marché sans se soucier des conditions dans lesquelles NA2J les avaient acquis. Ces prix, trop faibles pour permettre d’amortir l’investissement requis pour la création et l’entretien d’une telle base, auraient dû alerter Vivaki sur l’origine douteuse des données. En revanche, le tribunal a refusé de reconnaître à Sarenza le bénéfice de la protection de la base de données accordée au producteur. Les éléments d’information communiqués ne permettaient pas, selon les juges, de considérer que le fichier clients en cause était organisé en base de données.