Carrefour passe à la caisse pour violation du RGPD

Publié le par - 0 vues

Plus de 3.000.000 € d’amende et la publication de décisions qui permettent de saisir l’ampleur des errements de la marque dans sa politique de gestion des données personnelles. La société a collaboré à l’enquête et remédié à beaucoup de non conformités, mais l’image est ternie.

Sur plaintes, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire), et décidé d’ouvrir une procédure de sanction. La décision est tombée : la société CARREFOUR FRANCE devra payer une amende de 2.250.000 euros et la société CARREFOUR BANQUE 800.000 euros.

Vu les efforts importants mis en œuvre depuis lors, il n’y a pas d’injonction de mise en conformité mais la publication des décisions est une vilaine nouvelle pour l’image de la marque dont les manquements (certains vraiment basiques) apparaissent au grand jour.

L’obligation d’information

L’article 13 du RGPD renforce le devoir d’information lorsque les données sont collectées auprès de la personne concernée, sauf si elle dispose déjà des informations visées. Les éléments d’informations inconditionnés déjà présents dans la directive se diversifient: l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, des garanties prises ou des moyens d’obtenir copie.

Dans le dossier Carrefour, la CNIL estime que :

  • L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
  • Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

La durée de conservation

L’article 5.1.e RGPD stipule que les données sont conservées données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);)

Selon la CNIL :

  • La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750.000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.
  • Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.

Les droits des personnes concernées

Pour la CNIL, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.

La mise en œuvre des droits

La CNIL relève que la société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit.

Pour la CNIL, cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Les cookies

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Le traitement loyal

La CNIL a établi que lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Une image sérieusement ternie

Carrefour passera à la caisse : plus de 3.000.000 d’euros d’amende.

Manifestement, les équipes de la marque ont travaillé nuit et jour avec la CNIL pour remédier à la plupart des griefs. Cela permet d’éviter l’injonction. Les décisions insistent sur les efforts déployés et la correction de la plupart des manquements.

Mais il n’empêche que si les griefs sont établis (Carrefour peut faire appel devant le Conseil d’État), la publication des décisions abime durablement l’image de sérieux du groupe. Plus de deux ans après l’entrée en vigueur du RGPD, comment est-il possible de commettre des erreurs aussi grossières au sein d’un groupe qui a pourtant les moyens de se mettre en conformité ?

Les autres acteurs de la grande distribution, dont le modèle est proche de Carrefour, devraient parcourir la liste des manquements et s’assurer qu’eux-mêmes sont conformes. Adosser une carte de fidélité ou un financement à des achats en grande surface, nécessite en effet une stratégie cohérente de gestion des flux de données …

Plus d’infos ?

En lisant les décisions, disponibles en annexe.

Droit & Technologies

Annexes

Délibération Carrefour France

file_download Télécharger l'annexe

Délibération Carrefour Banque

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK