Le groupe Carrefour écope d'une amende de plus de 3 millions d'euros pour violation du RGPD

Les manquements relevés par la Cnil sont très nombreux, allant de l'information lacunaire à la transmission illégale de données personnelles. Carrefour France et Carrefour Banque ont, depuis les contrôles de l'autorité, modifié leurs pratiques pour être en règle avec le RGPD.

 

Partager
Le groupe Carrefour écope d'une amende de plus de 3 millions d'euros pour violation du RGPD

Saisie par plusieurs plaintes et après plusieurs mois de contrôle, la Commission nationale de l'informatique et des libertés (Cnil) a condamné Carrefour France et la filiale du groupe dédiée aux services bancaires à une amende de plus de 3 millions d'euros pour la violation du Règlement général sur la protection des données (RGPD).

Dans le détail, Carrefour France doit payer une amende de 2 250 000 euros et Carrefour Banque, 800 000 euros. En revanche, la Cnil n'a pas prononcé d'injonction car elle dit avoir constaté "des efforts importants" qui ont permis la mise en conformité des manquements relevés lors de ses contrôles.

Une information lacunaire
Dans ses deux délibérations, le gendarme de la vie privée relève de nombreuses fautes. En premier lieu, il indique que l'information fournie aux utilisateurs de sites Carrefour et Carrefour Banque n'était pas facilement accessible, ni facilement compréhensible, en particulier pour les personnes désirant adhérer au programme de fidélité ou à la carte Pass qui offre des avantages.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers). L'autorité note que les sites web sont désormais en conformité.

non-respect de la réglementation sur les cookies
Les deux sites ne respectaient pas non plus la réglementation sur les cookies. Plusieurs cookies étaient automatiquement déposés sur le terminal de l'internaute, avant toute action de sa part. Le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt. Désormais, plus aucun cookie publicitaire n’est déposé avant que l’utilisateur n’ait donné son accord, se réjouie la Cnil.

Par ailleurs, Carrefour France ne respectait pas les durées de conservation des données que l'entreprise avait elle-même fixées. Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Une durée de conservation excessive
La Cnil estime qu'une durée de conservation de 4 ans après le dernier achat des clients est excessive. Elle excède ce qui apparaît nécessaire dans le domaine de la grande distribution compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers, conclut l'autorité. Toutes les données anciennes ont été supprimées par le groupe français.

Carrefour France était également en infraction sur les conditions d'exercice des droits. Un justificatif d'identité était réclamé à chaque fois. Or, cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits, explique la Commission qui note en outre que la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Carrefour transmettait des données illégalement
Enfin, la Cnil relève un manquement à l'article 5 du RGPD qui commande de traiter de manière licite, loyale et transparente les données personnelles. En pratique, lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que Carrefour France communique à "Carrefour fidélité" son nom, son prénom et son adresse de courrier électronique.

Carrefour indiquait explicitement qu’aucune autre donnée n’était transmise. Or, lors de ses contrôles, la Cnil a constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS