RGPD : Carrefour sanctionné par la CNIL avec des amendes de 3 M€

Pour infractions aux traitements des données en lien avec le RGPD, la CNIL a infligé deux amendes, 2,25 M€ à Carrefour France et 800 000 euros à Carrefour Banque. Ces nombreux manquements sont aujourd’hui corrigés selon le groupe de distribution.

Le groupe Carrefour vient de se voir infliger par la CNIL deux amendes d’un montant total supérieur à trois millions d’euros. La première concerne Carrefour France pour 2,25 millions d’euros, la seconde Carrefour Banque pour 800 000 euros. Ces amendes sanctionnent une série importante de manquements qui, c’est notable, ont toutes été corrigées par Carrefour au fil de la procédure menée par l’autorité administrative indépendante depuis plus d’un an. Mais ces corrections n’ont pas été suffisantes pour échapper aux sanctions. La procédure a été initiée suite à une série de plaintes de particuliers. Mais on peut se réjouir que, dans cette procédure, aucune faille de sécurité n’ait été révélée.

Pour commencer, même si des lignes directrices et des recommandations de la CNIL sur les cookies n’ont été publiées que récemment pour éclairer les éditeurs de sites web dans les manières d’appliquer concrètement les textes, les obligations existent bel et bien depuis la mise en oeuvre du RGPD, en mai 2018. Or les sites du groupe Carrefour plaçaient des cookies sur les postes des internautes avant que ceux-ci ne l’aient accepté, cela sans aucune obligation technique et à des fins purement publicitaires.

Abus et entraves à l’exercice des droits

Autre famille de fautes commises par le groupe de distribution : les manquements dans l’information des utilisateurs au sujet des collectes et transferts de données. Lorsqu’un consommateur disposant d’une carte de crédit activait la fonction carte de fidélité, un transfert était réalisé entre Carrefour Banque et Carrefour France, mais plus vaste qu’annoncé. De la même façon, l’information sur les données collectées, les modalités de conservation, etc. était particulièrement obscure et noyée dans des considérations plus vastes.

La conservation des données a également été jugée trop longue par la CNIL. Les données de clients inactifs étaient ainsi gardées jusqu’à dix ans. Rappelons que la CNIL sanctionne régulièrement les conservations abusives de données personnelles. Le groupe prévoyait d’ailleurs une durée de quatre ans dans ses documents d’information mais même cette durée est jugée excessive par la CNIL. Un nettoyage régulier des bases clients est un impératif légal. Enfin, Carrefour n’a pas donné suite à des demandes d’accès aux données personnelles, des demandes d’effacement ou de désinscription. L’exercice des droits des consommateurs était d’ailleurs compliqué.

chevron_left
chevron_right