Carrefour sanctionné par le régulateur pour ses entorses au RGPD

Spread the love
Carrefour sanctionné par le régulateur pour ses entorses au RGPD

L’amende est salée pour le groupe Carrefour. Saisie de plusieurs plaintes, la CNIL a annoncé ce jeudi une sanction à l’encontre de deux sociétés du groupe Carrefour pour plusieurs manquements au RGPD, concernant notamment l’information délivrée aux personnes et le respect de leurs droits. Cette décision va coûter cher au groupe, enjoint à payer une amende de 2,25 millions d’euros, à laquelle s’additionne un chèque de 800 000 euros réclamé à sa filiale Carrefour Banque. A noter que ces décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat.

S’agissant du secteur de la grande distribution, que couvre Carrefour, et du secteur bancaire, avec Carrefour Banque, ces deux entités ont fait preuve de manquements sur le traitement des données des clients et des utilisateurs potentiels, conclut le régulateur à la suite de contrôles effectués entre mai et juillet 2019.

Dans un message diffusé sur Twitter à la suite de cette décision, Carrefour assure que ces entorses n’ont concerné « aucune donnée sensible », que les dommages en sont « très limités » et que le groupe « n’en a tiré aucun avantage financier ».

publicité

Des manquements signalés sur l’information et les cookies

La CNIL reproche à l’enseigne d’avoir présenté des informations « pas facilement accessibles » ni « facilement compréhensibles » aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, ainsi qu’aux futurs adhérents au programme de fidélité ou à la carte Pass. L’instance de régulation note que l’information délivrée « en des termes généraux et imprécis » était également « incomplète en ce qui concerne la durée de conservation des données ».

L’information du site carrefour.fr était aussi « insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements ». Sur ces points, la CNIL précise que « les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité ».

La CNIL a par ailleurs constaté d’autres manquements relatifs aux cookies, qui étaient automatiquement déposés sur le terminal de l’utilisateur connecté aux sites du groupe. Or, « plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pu être recueilli avant le dépôt », estime l’autorité de contrôle. Les sociétés ont fait savoir qu’elles avaient modifié le fonctionnement de leurs sites web pour s’aligner au règlement européen sur ce volet.

Des données conservées trop longtemps

Et la liste des reproches se poursuit. La société Carrefour France est également accusée de ne pas avoir respecté les durées de conservation des données qu’elle avait fixées. Elle a ainsi conservé les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans dans le cadre de son programme de fidélité. La CNIL fait remarquer à ce sujet que la société a engagé au cours de la procédure « d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD ». Toutes les données trop anciennes ont notamment été supprimées.

Plusieurs manquements au respect des droits sont ajoutés aux griefs. Il apparaît dans l’enquête de la CNIL que Carrefour n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles, et n’a pas non plus procédé à l’effacement de données demandé par plusieurs personnes quand c’était nécessaire. Enfin, la société se voit reprochée de n’avoir pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique. Sur tous ces points, la société s’est mise en conformité à ce jour.

En outre, le groupe a entièrement refondu son parcours de souscription en ligne à la carte Pass, après que la CNIL lui a reproché d’avoir abusé du traitement des données de certains utilisateurs. Lorsqu’un client souscrivant à la carte Pass souhaitait également adhérer au programme de fidélité de l’enseigne, il devait alors cocher une case indiquant qu’il acceptait que Carrefour Banque communique à “Carrefour fidélité” son nom, son prénom et son adresse e-mail. Or, la CNIL a constaté que d’autres données comme l’adresse postale, le numéro de téléphone et le nombre d’enfants étaient transmis par ce biais.

En réponse à ces accusations, Carrefour dit être désormais en pleine conformité avec le RGPD. La décision de la CNIL concerne des « défaillances passées et isolées » qui sont aujourd’hui « entièrement corrigées » souligne l’enseigne. Au moment où le RGPD a été instauré en 2018, le groupe accusait un « retard en matière digitale qui avait été diagnostiqué lors du lancement du plan Carrefour 2022 » reconnaît-il. Une enquête menée au printemps dernier abonde dans ce sens, révélant que beaucoup d’entreprises peinent encore à achever leur mise en conformité avec le règlement européen sur les données privées.

Leave a Reply