Réf. : CNIL, délibérations n° SAN-2020-008 (N° Lexbase : X1227CKN) et n° SAN-2020-009 (N° Lexbase : X1228CKP), 18 novembre 2020
Lecture: 6 min
N5475BYG
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 10 Décembre 2020
► Dans ses deux délibérations en date du 18 novembre 2020, la CNIL a sanctionné la société Carrefour France d’une amende de 2 250 000 euros et la société Carrefour Banque d’une amende de 800 000 euros pour des manquements au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) ;
Ces manquements sont relatifs à l’obligation d’informer les personnes, aux cookies, à l’obligation de limiter la durée de conservation des données, à l’obligation de faciliter l’exercice des droits, au respect des droits et à l’obligation de traiter les données de manière loyale.
Faits et procédure. Saisie de plusieurs plaintes à l’encontre du groupe Carrefour, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés Carrefour France (secteur de la grande distribution) et Carrefour Banque (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.
À l’issue de cette procédure, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le « RGPD ».
La CNIL relève six types de manquements :
L’information fournie aux utilisateurs des sites « carrefour.fr » et « carrefour-banque.fr » comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
Concernant le site « carrefour.fr », l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).
Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.
La CNIL a constaté que, lorsqu’un utilisateur se connectait au site « carrefour.fr » ou au site « carrefour-banque.fr », plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.
Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.
La société Carrefour France ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site « carrefour.fr » inactifs depuis cinq à dix ans.
Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de quatre ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.
Pendant la procédure, la société Carrefour France a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le « RGPD ». Toutes les données trop anciennes ont notamment été supprimées.
La société Carrefour France exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le « RGPD » plusieurs demandes d’exercice de droits.
Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.
Tout d’abord, la société Carrefour France n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.
Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.
Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.
Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que Carrefour Banque communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. Carrefour Banque indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.
Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société Carrefour France.
Sanction. La formation restreinte de la CNIL a sanctionné la société Carrefour France d’une amende de 2 250 000 euros et la société Carrefour Banque d’une amende de 800 000 euros.
En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:475475
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.