Carrefour sanctionné par le régulateur pour ses entorses au RGPD

Spread the love
  • Yum

Carrefour sanctionné par le régulateur pour ses entorses au RGPD

L’amende est salée pour le groupe Carrefour. Saisie de plusieurs plaintes, la CNIL a annoncé ce jeudi une sanction à l’encontre de deux sociétés du groupe Carrefour pour plusieurs manquements au RGPD, concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

S’agissant du secteur de la grande distribution, que couvre Carrefour, et du secteur bancaire, avec Carrefour Banque, ces deux entités ont fait preuve de manquements sur le traitement des données des clients et des utilisateurs potentiels, conclut le régulateur à la suite de contrôles effectués entre mai et juillet 2019.

Cette décision va coûter cher au groupe, enjoint à payer une amende de 2,25 millions d’euros, à laquelle s’additionne un chèque de 800 000 euros réclamé à sa filiale Carrefour Banque. A noter que ces décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat.

publicité

Des manquements signalés sur l’information et les cookies

La CNIL reproche à l’enseigne d’avoir présenté des informations « pas facilement accessibles » ni « facilement compréhensibles » aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, ainsi qu’aux futurs adhérents au programme de fidélité ou à la carte Pass. L’instance de régulation note que l’information délivrée « en des termes généraux et imprécis » était également « incomplète en ce qui concerne la durée de conservation des données ».

L’information du site carrefour.fr était aussi « insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements ». Sur ces points, la CNIL précise que « les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité ».

La CNIL a par ailleurs constaté d’autres manquements relatifs aux cookies, qui étaient automatiquement déposés sur le terminal de l’utilisateur connecté aux sites du groupe. Or, « plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pu être recueilli avant le dépôt », estime l’autorité de contrôle. Les sociétés ont fait savoir qu’elles avaient modifié le fonctionnement de leurs sites web pour s’aligner au règlement européen sur ce volet.

Des données conservées trop longtemps

Et la liste des reproches se poursuit. La société Carrefour France est également accusée de ne pas avoir respecté les durées de conservation des données qu’elle avait fixées. Elle a ainsi conservé les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans dans le cadre de son programme de fidélité. La CNIL fait remarquer à ce sujet que la société a engagé au cours de la procédure « d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD ». Toutes les données trop anciennes ont notamment été supprimées.

Plusieurs manquements au respect des droits sont ajoutés aux griefs. Il apparaît dans l’enquête de la CNIL que Carrefour n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles, et n’a pas non plus procédé à l’effacement de données demandé par plusieurs personnes quand c’était nécessaire. Enfin, la société se voit reprochée de n’avoir pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique. Sur tous ces points, la société s’est mise en conformité à ce jour.

En outre, le groupe a entièrement refondu son parcours de souscription en ligne à la carte Pass, après que la CNIL lui a reproché d’avoir abusé du traitement des données de certains utilisateurs. Lorsqu’un client souscrivant à la carte Pass souhaitait également adhérer au programme de fidélité de l’enseigne, il devait alors cocher une case indiquant qu’il acceptait que Carrefour Banque communique à “Carrefour fidélité” son nom, son prénom et son adresse e-mail. Or, la CNIL a constaté que d’autres données comme l’adresse postale, le numéro de téléphone et le nombre d’enfants étaient transmis par ce biais.

Leave a Reply

%d bloggers like this: