C’est une nouvelle amende, bien salée, infligée par la CNIL. Après SPARTOO, c’est au tour de Carrefour cette fois-ci.
Après plusieurs contrôles plus tôt dans l’année, la Cnil a remarqué que le groupe de supermarchés et sa filiale Carrefour Banque avaient une conception assez laxiste du RGPD.
Voilà qui devrait envoyer un signal fort aux autres acteurs du commerce électronique français. Dans un arrêt rendu le 26 novembre, la CNIL vient d’adresser une amende d’un peu plus de 3 millions d’euros au groupe carrefour pour non-respect de la loi relative aux protections des données.
En détail, cette amende se divise en deux, d’abord 2,25 millions d’euros pour sa chaîne de supermarchés puis deuxièmement, 800 000 € pour sa filiale Carrefour Banque.
Dans les faits, c’est entre mai et juillet 2019, que la CNIL a établi plusieurs contrôles dans les deux structures, à la suite de plusieurs plaintes et, a découvert que Carrefour avait manqué plusieurs obligations prévues dans le RGPD.
Dépôt de cookies publicitaires sans autorisation
Premièrement, le groupe s’est fait reprocher un manque dans l’information fournie aux clients. “L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr […] n’était pas facilement accessible […] ni facilement compréhensible”, explique la Cnil.
Des termes peu clairs, noyés par une quantité d’informations inutiles, une absence d’informations au sujet du transfert des données hors de l’UE, ainsi qu’une information incomplète sur la durée de conservation des données. Sur ce dernier point, la Cnil a trouvé que les données de plus de, vingt-huit millions de clients, inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité, ce qui constitue une violation de l’article 5.1.e du RGPD. Les informations de 750 000 utilisateurs du site Carrefour inactifs depuis cinq à dix ans étaient également gardées au chaud.
Techniquement, le simple fait de visiter le site Carrefour.fr déclenchait automatiquement le dépôt de plusieurs cookies dont certains servaient à la publicité sur le terminal de l’internaute sans son autorisation, ce qui constitue une violation de l’article 82 de la loi informatique et libertés qui stipule que “tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] de la finalité de toute action tendant […] à inscrire des informations dans [un] équipement”.
Protection et conservation des données
La gestion de ces données par Carrefour, et Carrefour Banque, est aussi largement pointée du doigt. Puisque la société n’a pas donné suite à la demande de plusieurs personnes qui souhaitaient accéder à leurs données personnelles, et n’a pas procédé aussi, à l’effacement de données demandées par plusieurs personnes. Elle aurait dû le faire et n’a pas pris en compte des demandes de personnes s’étant opposées à recevoir des pubs par SMS ou e-mail. Des entorses aux articles 15, 17 et 21 du RGPD et de l’article L34-5 du code des postes et des communications électroniques.
