Comme souvent dans ces cas-là, cela commence par des plaintes d’utilisateurs à la CNIL, suivi de contrôles et cela se termine par une amende. C’est ainsi que Carrefour s’est vu infliger une sanction de plus de 3 millions d’euros par la CNIL ; l’une des plus lourdes amendes effectuées par l’autorité de contrôle. La CNIL a en effet constaté des manquements importants concernant le traitement des données des clients et des utilisateurs potentiels sur plusieurs domaines.

Des manquements à l’obligation d’informer les personnes

  • L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
  • Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Des manquements relatifs aux cookies

  • La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part.
    Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Un manquement à l’obligation de limiter la durée de conservation des données

  • La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.
  • La CNIL considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive, elle préconise une durée de conservation de 3 ans.

Un manquement à l’obligation de faciliter l’exercice des droits

  • La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits.
  • Par ailleurs, en outre, Carrefour “n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles”.

Conclusion

Au final même si Carrefour fait remarquer que : “La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées”, et affirme également n’avoir retiré de ces pratiques “aucun avantage financier”, pour tous ces manquements passés, elle a condamnée Carrefour à plus de 3 millions d’euros d’amendes.

Pour plus d’informations, voir l’intégralité du descriptif de la sanction sur : https://www.cnil.fr/fr/sanctions-2250000-euros-et-800000-euros-pour-carrefour-france-carrefour-banque