L'autorité a infligé plus de 3 millions d'euros d'amende au groupe de la grande distribution, après avoir constaté des manquements au RGPD et à la Loi informatique et libertés.
Après avoir été saisie de multiples plaintes et mené une traditionnelle procédure de sanction, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi 26 novembre, avoir sanctionné le groupe Carrefour de deux amendes visant deux de ses filiales, Carrefour France et Carrefour Banque. Le gendarme des données affirme avoir constaté pas moins de six violations, notamment du Règlement général sur la protection des données (RGPD).
De sérieux manquements sur la conservation des données d'anciens adhérents et clients constatés
Bien qu'elle n'ait pas prononcé d'injonction à l'encontre des deux sociétés, après avoir constaté que celles-ci sont désormais en conformité face aux manquements dénoncés, la CNIL a condamné Carrefour France à une amende de 2,25 millions d'euros, et Carrefour Banque à payer 800 000 euros.
L'autorité considère, en premier lieu, que l'entreprise a manqué à son obligation d'informer les personnes concernées et violé l'article 13 du RGPD notamment en ce qui concerne l'adhésion au programme de fidélité et la souscription à la carte Pass (la carte de crédit de Carrefour). La CNIL estime que l'accès à l'information était bien trop compliqué et peu compréhensible. L'absence d'information précise sur la durée de conservation des données et sur le transfert des données hors Union européenne a également été dénoncée.
La CNIL s'est aussi aperçue que des cookies publicitaires étaient déposés sur les terminaux des visiteurs de carrefour.fr et carrefour-banque.fr avant même que ceux-ci puissent fournir leur consentement… ou non. Ce qui est contraire à l'article 82 de la loi Informatique et Libertés.
Carrefour France a été épinglée sur la conservation des données issues de son programme de fidélité, sur la base de l'article 5.1.e du RGPD. Les données de plus de 28 millions de clients, pourtant inactifs depuis cinq à 10 ans, étaient toujours conservées par l'entreprise, ce qui allait bien au-delà des limites fixées à l'origine. Les données de 750 000 utilisateurs et anciens clients du site carrefour.fr étaient par ailleurs conservées, toujours au-delà de la limite de quatre ans, elle-même jugée comme « excessive » par le gendarme des données, qui atteste qu'aujourd'hui que « les données trop anciennes ont été supprimées ».
Le groupe Carrefour s'est mis en conformité durant la procédure de sanction
Outre les cookies et les données, la CNIL a constaté des manquements autour de l'exercice et du respect des droits des utilisateurs. Par exemple, Carrefour France demandait systématiquement une pièce d'identité à tout client qui demandait l'exercice de ses droits, même dans le cas où le doute sur l'identité de la personne était levé. La CNIL a constaté que Carrefour France avait ignoré plusieurs demandes de personnes qui souhaitaient avoir accès à leurs données personnelles. À plusieurs reprises, l'entreprise n'a pas procédé à l'effacement des données, alors que cela est obligatoire. Sur ces deux derniers mois, l'autorité administrative indépendante indique aussi que le groupe a accédé à toutes les requêtes, et ce durant la procédure de sanction.
Enfin, les derniers manquements au RGPD concernent l'obligation de traiter les données de manière loyale, qui repose sur l'article 5 du RGPD. En pratique, au moment de souscrire à la carte Pass et de rattacher celle-ci au compte fidélité, Carrefour Banque proposait au client de cocher une case permettant, ensuite, de communiquer son nom, prénom et son adresse électronique à Carrefour fidélité, le service en charge du programme. Sans aller au-delà de ces uniques informations. Sauf que la CNIL a constaté que d'autres données étaient transmises au programme fidélité, comme le numéro de téléphone, l'adresse postale ou le nombre d'enfants.
Depuis, et comme pour les autres manquements, Carrefour a complètement repensé son parcours de souscription, désormais conforme aux différentes réglementations en vigueur.
Source : CNIL
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
