Après avoir infligé une amende de 250 000€ à Spartoo en août dernier, c’est au tour de Carrefour d’être sanctionné par la CNIL. Plus exactement, ce sont Carrefour France et sa filiale Carrefour Banque qui ont été sanctionnés à hauteur respective de 2 250 000€ et 800 000€. Ces amendes punissent des manquements à l’article 13 du RGPD.
La CNIL a contrôlé Carrefour à deux reprises suite à des plaintes
Après deux examens, en mai et juillet 2019, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. Après cela, la présidente de la CNIL a engagé une procédure de sanction à l’encore deux deux acteurs concernés. Carrefour France a été sanctionné à hauteur de 2 250 000€ et Carrefour Banque à hauteur de 800 000€. Cependant, aucune des deux sociétés n’a reçu d’injonction de payer car la CNIL a noté les importants efforts de l’entreprise pour mettre en conformité ce qui avait été épinglé.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Ces amendes, la CNIL ne les a pas assénées pour rien. Carrefour France et Carrefour Banque ont manqué au respect du RGPD et plus précisément à l’article 13. En effet, l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, ainsi qu’aux futurs adhérents de la carte Pass ou de fidélité n’était pas accessible facilement. Sur le site général de l’enseigne, l’information aux utilisateurs a également été jugée insuffisante concernant le transfert de données hors de l’Union Européenne. La CNIL précise que, concernant ces éléments, Carrefour a déjà rendu ses plateformes conformes.
Des manquements liés aux cookies et au traitement des données observés
La CNIL a récemment durci sa politique en matière de cookies, elle n’a d’ailleurs pas épargné Carrefour. La Commission nationale de l’informatique et des libertés a notamment noté que des cookies étaient automatiquement déposés sur le terminal de l’utilisateur qui se connecte aux différents sites du groupe.
Dans le même temps, la commission a aussi noté que Carrefour France gardait trop longtemps les données des utilisateurs par rapport à la durée de conservation officiellement fixée. Les données de carte de fidélité de plus de 28 millions de clients inactifs sont ainsi conservées depuis 5 à 10 ans. 750 000 autres personnes, utilisatrices du site de Carrefour sont quant à elles concernées par la conservation de données sur une période de 5 à 10 ans. Ici encore, le groupe française a très rapidement procédé aux modifications nécessaires à sa mise en conformité au RGPD.
Enfin, sur son service bancaire, Carrefour n’a pas non plus respecter le traitement des données de ses utilisateurs. Le groupe obligeait un nouveau client de la carte PASS à souscrire également à la carte de fidélité, puisque ses données étaient automatiquement transmises au service concerné. Encore une fois, Carrefour a pris en compte les règles et s’y est conformé en cours de route.
Dans l’ensemble, les plaintes contre l’enseigne ont permis au groupe de voir ses pratiques analysées par la CNIL, et de se conformer, enfin, au RGPD. Rappelons finalement que la CNIL n’a pas prononcé d’injonction quant aux amendes, sur la base des efforts constatés très rapidement.