L'autorité a infligé plus de 3 millions d'euros d'amende au groupe de la grande distribution, après avoir constaté des manquements au RGPD et à la Loi informatique et libertés.
Après avoir été saisie de multiples plaintes et mené une traditionnelle procédure de sanction, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi 26 novembre, avoir sanctionné le groupe Carrefour de deux amendes visant deux de ses filiales, Carrefour France et Carrefour Banque. Le gendarme des données affirme avoir constaté pas moins de six violations, notamment du Règlement général sur la protection des données (RGPD).
De sérieux manquements sur la conservation des données d'anciens adhérents et clients constatés
Bien qu'elle n'ait pas prononcé d'injonction à l'encontre des deux sociétés, après avoir constaté que celles-ci sont désormais en conformité face aux manquements dénoncés, la CNIL a condamné Carrefour France à une amende de 2,25 millions d'euros, et Carrefour Banque à payer 800 000 euros.
L'autorité considère, en premier lieu, que l'entreprise a manqué à son obligation d'informer les personnes concernées et violé l'article 13 du RGPD notamment en ce qui concerne l'adhésion au programme de fidélité et la souscription à la carte Pass (la carte de crédit de Carrefour). La CNIL estime que l'accès à l'information était bien trop compliqué et peu compréhensible. L'absence d'information précise sur la durée de conservation des données et sur le transfert des données hors Union européenne a également été dénoncée.
La CNIL s'est aussi aperçue que des cookies publicitaires étaient déposés sur les terminaux des visiteurs de carrefour.fr et carrefour-banque.fr avant même que ceux-ci puissent fournir leur consentement… ou non. Ce qui est contraire à l'article 82 de la loi Informatique et Libertés.
Carrefour France a été épinglée sur la conservation des données issues de son programme de fidélité, sur la base de l'article 5.1.e du RGPD. Les données de plus de 28 millions de clients, pourtant inactifs depuis cinq à 10 ans, étaient toujours conservées par l'entreprise, ce qui allait bien au-delà des limites fixées à l'origine. Les données de 750 000 utilisateurs et anciens clients du site carrefour.fr étaient par ailleurs conservées, toujours au-delà de la limite de quatre ans, elle-même jugée comme « excessive » par le gendarme des données, qui atteste qu'aujourd'hui que « les données trop anciennes ont été supprimées ».
Le groupe Carrefour s'est mis en conformité durant la procédure de sanction
Outre les cookies et les données, la CNIL a constaté des manquements autour de l'exercice et du respect des droits des utilisateurs. Par exemple, Carrefour France demandait systématiquement une pièce d'identité à tout client qui demandait l'exercice de ses droits, même dans le cas où le doute sur l'identité de la personne était levé. La CNIL a constaté que Carrefour France avait ignoré plusieurs demandes de personnes qui souhaitaient avoir accès à leurs données personnelles. À plusieurs reprises, l'entreprise n'a pas procédé à l'effacement des données, alors que cela est obligatoire. Sur ces deux derniers mois, l'autorité administrative indépendante indique aussi que le groupe a accédé à toutes les requêtes, et ce durant la procédure de sanction.
Enfin, les derniers manquements au RGPD concernent l'obligation de traiter les données de manière loyale, qui repose sur l'article 5 du RGPD. En pratique, au moment de souscrire à la carte Pass et de rattacher celle-ci au compte fidélité, Carrefour Banque proposait au client de cocher une case permettant, ensuite, de communiquer son nom, prénom et son adresse électronique à Carrefour fidélité, le service en charge du programme. Sans aller au-delà de ces uniques informations. Sauf que la CNIL a constaté que d'autres données étaient transmises au programme fidélité, comme le numéro de téléphone, l'adresse postale ou le nombre d'enfants.
Depuis, et comme pour les autres manquements, Carrefour a complètement repensé son parcours de souscription, désormais conforme aux différentes réglementations en vigueur.
Source : CNIL