Recevez chaque jour toute l'actualité du numérique

x

Le groupe Carrefour écope d'une amende de plus de 3 millions d'euros pour violation du RGPD

Les manquements relevés par la Cnil sont très nombreux, allant de l'information lacunaire à la transmission illégale de données personnelles. Carrefour France et Carrefour Banque ont, depuis les contrôles de l'autorité, modifié leurs pratiques pour être en règle avec le RGPD.  
Twitter Facebook Linkedin Flipboard Email
×

Le groupe Carrefour écope d'une amende de plus de 3 millions d'euros pour violation du RGPD
Le groupe Carrefour écope d'une amende de plus de 3 millions d'euros pour violation du RGPD © Carrefour/Facebook

Saisie par plusieurs plaintes et après plusieurs mois de contrôle, la Commission nationale de l'informatique et des libertés (Cnil) a condamné Carrefour France et la filiale du groupe dédiée aux services bancaires à une amende de plus de 3 millions d'euros pour la violation du Règlement général sur la protection des données (RGPD).

Dans le détail, Carrefour France doit payer une amende de 2 250 000 euros et Carrefour Banque, 800 000 euros. En revanche, la Cnil n'a pas prononcé d'injonction car elle dit avoir constaté "des efforts importants" qui ont permis la mise en conformité des manquements relevés lors de ses contrôles.

Une information lacunaire
Dans ses deux délibérations, le gendarme de la vie privée relève de nombreuses fautes. En premier lieu, il indique que l'information fournie aux utilisateurs de sites Carrefour et Carrefour Banque n'était pas facilement accessible, ni facilement compréhensible, en particulier pour les personnes désirant adhérer au programme de fidélité ou à la carte Pass qui offre des avantages.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers). L'autorité note que les sites web sont désormais en conformité.

non-respect de la réglementation sur les cookies
Les deux sites ne respectaient pas non plus la réglementation sur les cookies. Plusieurs cookies étaient automatiquement déposés sur le terminal de l'internaute, avant toute action de sa part. Le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt. Désormais, plus aucun cookie publicitaire n’est déposé avant que l’utilisateur n’ait donné son accord, se réjouie la Cnil.

Par ailleurs, Carrefour France ne respectait pas les durées de conservation des données que l'entreprise avait elle-même fixées. Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Une durée de conservation excessive
La Cnil estime qu'une durée de conservation de 4 ans après le dernier achat des clients est excessive. Elle excède ce qui apparaît nécessaire dans le domaine de la grande distribution compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers, conclut l'autorité. Toutes les données anciennes ont été supprimées par le groupe français.

Carrefour France était également en infraction sur les conditions d'exercice des droits. Un justificatif d'identité était réclamé à chaque fois. Or, cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits, explique la Commission qui note en outre que la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Carrefour transmettait des données illégalement
Enfin, la Cnil relève un manquement à l'article 5 du RGPD qui commande de traiter de manière licite, loyale et transparente les données personnelles. En pratique, lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que Carrefour France communique à "Carrefour fidélité" son nom, son prénom et son adresse de courrier électronique.

Carrefour indiquait explicitement qu’aucune autre donnée n’était transmise. Or, lors de ses contrôles, la Cnil a constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.