L’affaire

Alors que le groupe de distribution alimentaire se lance dans une impressionnante transformation digitale, grâce à un plan Carrefour 2022, et à des partenaires renommés (un partenariat avec Google a été conclu en 2018), la CNIL a été alertée pour des manquements au RGPD.

Après une enquête réalisée entre les mois de mai et juillet 2020, la CNIL a infligé 3 050 000 euros d’amende contre deux entités du groupe CARREFOUR :

  • CARREFOUR France (grande distribution) : 2 250 000 euros
  • CARREFOUR BANQUE (secteur bancaire) : 800 000 euros

Quels manquements ont été constatés ?

  • Manquements à l’obligation d’informer les personnes, mentionnée à l’art 13 du RGPD : les informations, difficiles d’accès, n’étaient pas facilement compréhensibles, et bien trop vagues concernant la durée de conservation des données ;
  • Manquements relatifs aux cookies (art 82 de la loi Informatique et Libertés) : des cookies, notamment relatifs à la publicité, étaient déposés automatiquement sur le terminal de l’internaute sans son consentement.
  • Manquement à l’obligation de fixer une durée de conservation des données (art 5 .1.e du RGPD) : CARREFOUR France avait fixé une durée de 4 ans pour les données liées au programme de fidélité, après le dernier achat d’un client. Si cette durée n’était pas respectée, la CNIL l’a considérée comme excessive.
  • Manquement à l’obligation de faciliter l’exercice des droits (posée par l’art. 12 du RGPD) : toute demande d’exercice de droit était conditionnée à la fourniture préalable d’un justificatif d’identité. De plus, les délais exigés par la réglementation européenne concernant les demandes d’exercice de droits n’étaient pas respectés.
  • Manquement au respect des droits (protégé par les articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques) : il a été établi que CARREFOUR France n’avait pas répondu aux demandes de plusieurs personnes désireuses d’avoir accès à leurs données personnelles, à des demandes d’effacement de données, ainsi qu’à des demandes d’opposition à des publicités envoyées par SMS ou courrier électronique ;
  • Manquement à l’obligation de traiter les données de manière loyale (garanti par l’article 5 du RGPD) : les données transmises par CARREFOUR BANQUE à la société CARREFOUR France n’étaient pas toutes présentées à une personne souscrivant à la carte de crédit Carrefour.

Quelles leçons en tirer ?

  • Porter une attention particulière aux mentions d’information. Elles doivent être faciles d’accès, compréhensibles, faire état de la durée de conservation des données, mentionner tout transfert existant de données hors de l’U.E., et la base légale des traitements opérés.
  • Recueillir le consentement préalable des internautes avant le dépôt de tout cookie qui ne serait pas un cookie nécessaire au fonctionnement du site : la CNIL a récemment mis à jour ses recommandations.
  • Fixer une durée de conservation raisonnable des données personnelles et la respecter.
  • Toute demande d’exercice de droit relatif aux données personnelles doit recevoir une réponse dans un délai d’un mois. En outre, une demande d’effacement doit être suivie d’effet !