Carrefour France et Carrefour Banque sont sanctionnés par la Cnil pour des manquements au RGPD. Carrefour France doit régler une amende de 2,25 millions d’euros et Carrefour Banque de 800 000 €.
De nombreux manquements au RGPD relevés
Carrefour est sanctionné pour de nombreux manquements. Cela concerne l’information des personnes, les cookies, l’obligation de limiter la durée de conservation des données, l’obligation de faciliter l’exercice des droits, le respect des droits et le traitement des données de manière loyale. La Cnil est intervenue à la suite de plusieurs plaintes contre Carrefour. A la lecture des manquements relevés contre Carrefour, on peut penser que de nombreuses entreprises françaises sont dans la même situation que le géant de la grande distribution et que la Cnil communique sur le cas de Carrefour dans une démarche pédagogique. Quant à certain reproches faits à Carrefour, comme le fait de proposer des documents inutilement compliqués, on se dit que la Cnil a du pain sur la planche si elle entend poursuivre toutes les entreprises dont les documents sont difficiles à comprendre. La Cnil souligne que Carrefour a consacré des efforts importants pour se mettre en conformité sur tous les manquements relevés durant la procédure.
L’information était rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées
Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements des fichiers. Sur ce point, Carrefour a modifié les mentions d’information et les sites web durant la procédure de la Cnil pour se mettre en conformité.
Des cookies publicitaires déposés sans demande préalable
Côté cookies, la Cnil a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt. Carrefour a modifié durant la procédure, le fonctionnement de ses sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.
Carrefour France conservait les données de 28 millions de clients inactifs depuis plus de 5 ans dans son programme de fidélité
Cette durée de 4 ans initialement retenue par Carrefour, excède selon la Cnil ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. La Cnil souligne que pendant la procédure, Carrefour France a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.
Une demande systématique d’un justificatif d’identité inutile
La Cnil observe par ailleurs que Carrefour France exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits, déclare la Cnil.
Carrefour France n’a pas traité dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits
Carrefour France n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Durant la procédure, la société s’est rapprochée de toutes les personnes concernées. Dans plusieurs cas, Carrefour n’avait pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure. Carrefour n’avait pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou par courrier électronique, notamment en raison d’erreurs techniques ponctuelles. Carrefour France s’est mis en conformité durant la procédure sur ce point également.
Carrefour Banque mentait sur les données transférées à Carrefour
Enfin, concernant le traitement loyal des données, lorsqu’une personne souscrivant à la carte Pass, qui est une carte de crédit pouvant être rattachée au compte fidélité de Carrefour, souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que Carrefour Banque communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. Carrefour Banque indiquait explicitement qu’aucune autre donnée n’était transmise.
Des données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants
La Cnil rappelle les différents articles du RGPD, de la loi informatique et libertés et du Code des Postes auxquels Carrefour a manqué. Il s’agit des manquements à l’obligation d’informer les personnes (article 13 du RGPD), des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés), d’un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD), d’un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD), d’un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques) et d’un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD).
