RGPD : la CNIL condamne et inflige deux amendes à Carrefour France et Carrefour Banque

26 novembre 2020 à 14h35
1
© Veja / Shutterstock.com

L'autorité a infligé plus de 3 millions d'euros d'amende au groupe de la grande distribution, après avoir constaté des manquements au RGPD et à la Loi informatique et libertés.

Après avoir été saisie de multiples plaintes et mené une traditionnelle procédure de sanction, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi 26 novembre, avoir sanctionné le groupe Carrefour de deux amendes visant deux de ses filiales, Carrefour France et Carrefour Banque. Le gendarme des données affirme avoir constaté pas moins de six violations, notamment du Règlement général sur la protection des données (RGPD).

De sérieux manquements sur la conservation des données d'anciens adhérents et clients constatés

Bien qu'elle n'ait pas prononcé d'injonction à l'encontre des deux sociétés, après avoir constaté que celles-ci sont désormais en conformité face aux manquements dénoncés, la CNIL a condamné Carrefour France à une amende de 2,25 millions d'euros, et Carrefour Banque à payer 800 000 euros.

L'autorité considère, en premier lieu, que l'entreprise a manqué à son obligation d'informer les personnes concernées et violé l'article 13 du RGPD notamment en ce qui concerne l'adhésion au programme de fidélité et la souscription à la carte Pass (la carte de crédit de Carrefour). La CNIL estime que l'accès à l'information était bien trop compliqué et peu compréhensible. L'absence d'information précise sur la durée de conservation des données et sur le transfert des données hors Union européenne a également été dénoncée.

La CNIL s'est aussi aperçue que des cookies publicitaires étaient déposés sur les terminaux des visiteurs de carrefour.fr et carrefour-banque.fr avant même que ceux-ci puissent fournir leur consentement… ou non. Ce qui est contraire à l'article 82 de la loi Informatique et Libertés.

Carrefour France a été épinglée sur la conservation des données issues de son programme de fidélité, sur la base de l'article 5.1.e du RGPD. Les données de plus de 28 millions de clients, pourtant inactifs depuis cinq à 10 ans, étaient toujours conservées par l'entreprise, ce qui allait bien au-delà des limites fixées à l'origine. Les données de 750 000 utilisateurs et anciens clients du site carrefour.fr étaient par ailleurs conservées, toujours au-delà de la limite de quatre ans, elle-même jugée comme « excessive » par le gendarme des données, qui atteste qu'aujourd'hui que « les données trop anciennes ont été supprimées ».

Le groupe Carrefour s'est mis en conformité durant la procédure de sanction

Outre les cookies et les données, la CNIL a constaté des manquements autour de l'exercice et du respect des droits des utilisateurs. Par exemple, Carrefour France demandait systématiquement une pièce d'identité à tout client qui demandait l'exercice de ses droits, même dans le cas où le doute sur l'identité de la personne était levé. La CNIL a constaté que Carrefour France avait ignoré plusieurs demandes de personnes qui souhaitaient avoir accès à leurs données personnelles. À plusieurs reprises, l'entreprise n'a pas procédé à l'effacement des données, alors que cela est obligatoire. Sur ces deux derniers mois, l'autorité administrative indépendante indique aussi que le groupe a accédé à toutes les requêtes, et ce durant la procédure de sanction.

Enfin, les derniers manquements au RGPD concernent l'obligation de traiter les données de manière loyale, qui repose sur l'article 5 du RGPD. En pratique, au moment de souscrire à la carte Pass et de rattacher celle-ci au compte fidélité, Carrefour Banque proposait au client de cocher une case permettant, ensuite, de communiquer son nom, prénom et son adresse électronique à Carrefour fidélité, le service en charge du programme. Sans aller au-delà de ces uniques informations. Sauf que la CNIL a constaté que d'autres données étaient transmises au programme fidélité, comme le numéro de téléphone, l'adresse postale ou le nombre d'enfants.

Depuis, et comme pour les autres manquements, Carrefour a complètement repensé son parcours de souscription, désormais conforme aux différentes réglementations en vigueur.

Source : CNIL

Modifié le 29/11/2020 à 18h38
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
1
2
Voir tous les messages sur le forum

Actualités récentes

CES 2021 : notre récap' des meilleures tendances et annonces laptop
Soldes d'hiver : dates, bons plans et promotions, tout savoir de l'édition 2021
GameStop retrouve des couleurs, comme jamais depuis 5 ans !
L'énergie nucléaire est l'avenir de l'exploration spatiale, d'après Rolls-Royce et l’Agence spatiale du Royaume-Uni
Apple va produire le biopic sur Napoléon de Ridley Scott
Rétrospective : le grand bilan spatial de 2020
Fraichement annoncé, le Samsung Galaxy S21 est déjà en précommande
Bill Gates devient le plus grand exploitant agricole privé des États-Unis
Rechargez rapidement votre smartphone avec cette batterie externe Belkin à moins de 25€
RED by SFR : le forfait BIG RED 200 Go à prix choc se termine ce soir à minuit !
Haut de page