Accueil " Amendes de 2 250 000 euros et 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

PROTECTION DES DONNÉES EN FRANCE DE LA PROTECTION DES DONNÉES - ACTUALITÉS

https://www.cnil.fr/fr/sanctions-2250000-euros-et-800000-euros-pour-carrefour-france-carrefour-banque

Amendes de 2 250 000 euros et 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREF OUR BANQUE

26 novembre 2020

Après avoir reçu plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe du groupe CARREFOUR pour des manquements au RGPD, concernant notamment l'information des personnes et le aux personnes et le respect de leurs droits.

Après avoir reçu plusieurs plaintes à l'encontre du groupe CARREFOUR, la CNIL a procédé à des contrôles entre mai et juillet 2019 auprès de CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). A cette occasion, la CNIL a constaté des manquements dans le traitement des données relatives aux clients et aux utilisateurs potentiels. La Présidente de la CNIL a donc décidé d'engager une procédure de sanction à l'encontre de ces sociétés.

Au terme de cette procédure, la commission restreinte - l'organe de la CNIL chargé de prononcer les sanctions - a en effet considéré que les entreprises avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a donc infligé à CARREFOUR FRANCE une amende de 2 250 000 euros et à CARREFOUR BANQUE une amende de 800 000 euros. Elle n'a cependant pas prononcé d'injonction car elle a constaté que des efforts importants avaient été faits pour mettre en conformité l'ensemble des manquements constatés.

Violation de l'obligation d'informer les personnes (article 13 du RGPD)

Les informations fournies aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, ainsi qu'aux personnes souhaitant adhérer au programme de fidélité ou à la carte Pass, n'étaient pas facilement accessibles (accès à l'information trop compliqué, dans des documents très longs contenant d'autres informations), ni facilement compréhensibles (informations rédigées en termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). En outre, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, les informations étaient également insuffisantes concernant les transferts de données en dehors de l'Union européenne et la base juridique des traitements (fichiers).

Sur ce point, les entreprises ont modifié leurs notices d'information et leurs sites web au cours de la procédure pour se mettre en conformité.

Violation relative aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu'un utilisateur se connectait aux sites carrefour.fr ou carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur le terminal de l'utilisateur, avant toute action de sa part. Plusieurs de ces cookies étaient utilisés à des fins publicitaires et le consentement de l'utilisateur aurait dû être recueilli préalablement à leur dépôt.

Au cours de la procédure, les entreprises ont mis à jour ce traitement sur leur site web. Désormais, plus aucun cookie publicitaire n'est placé avant que l'utilisateur n'ait donné son consentement.

Violation de l'obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

CARREFOUR FRANCE n'a pas respecté les durées de conservation des données qu'elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient conservées dans le cadre du programme de fidélisation. Il en était de même pour 750.000 utilisateurs du site carrefour.fr inactifs depuis 5 à 10 ans.

Par ailleurs, dans ce cas, la commission restreinte considère qu'une durée de conservation de 4 ans des données des clients après leur dernier achat, est excessive. En effet, cette durée, initialement fixée par l'entreprise, dépasse ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui effectuent principalement des achats réguliers.

Au cours de la procédure, CARREFOUR FRANCE a engagé des ressources importantes pour effectuer les changements nécessaires à la mise en conformité avec le RGPD. Entre autres, toutes les données trop anciennes ont été supprimées.

Violation de l'obligation de faciliter l'exercice des droits (article 12 du RGPD)

CARREFOUR FRANCE exigeait, sauf pour l'opposition à la prospection commerciale, une preuve d'identité pour toute demande d'exercice d'un droit. Cette demande systématique n'était pas justifiée car il n'y avait aucun doute sur l'identité des personnes exerçant leurs droits. De plus, la société n'a pas été en mesure de traiter plusieurs demandes d'exercice de droits dans les délais requis par le RGPD.

Sur ces deux points, l'entreprise a modifié ses pratiques au cours de la procédure. Elle a notamment déployé d'importants moyens humains et organisationnels pour répondre à toutes les demandes reçues dans un délai inférieur à un mois.

Non-respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du code des postes et des communications électroniques)

Tout d'abord, CARREFOUR FRANCE n'a pas répondu à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s'est adressée à toutes les personnes concernées au cours de la procédure.

Deuxièmement, dans plusieurs cas, l'entreprise n'a pas procédé à la suppression des données demandées par plusieurs personnes alors qu'elle aurait dû le faire. Sur ce point également, l'entreprise s'est conformée à toutes les demandes au cours de la procédure.

Enfin, l'entreprise n'a pas tenu compte d'un certain nombre de demandes de personnes qui s'étaient opposées à recevoir de la publicité par SMS ou par courrier électronique, notamment en raison d'erreurs techniques occasionnelles. Sur ce point également, l'entreprise s'est conformée à la procédure.

Violation de l'obligation de traitement loyal des données (article 5 du RGPD)

Lorsqu'une personne souscrivant à la carte Pass (carte de crédit pouvant être liée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu'elle acceptait que CARREFOUR BANQUE communique son nom, son prénom et son adresse e-mail à "Carrefour fidélité". CARREFOUR BANQUE indiquait explicitement qu'aucune autre donnée ne serait transmise. Or, la CNIL a constaté que d'autres données ont bien été transmises, telles que l'adresse postale, le numéro de téléphone et le nombre d'enfants, alors que la société s'était engagée à ne pas transmettre d'autres données.

Sur ce point, l'entreprise a modifié ses pratiques au cours de la procédure. Elle a entièrement revu son processus de souscription en ligne de la carte Pass et les personnes sont désormais informées de l'ensemble des données transmises à CARREFOUR FRANCE.