Après plusieurs plaintes déposées en 2019 à la Cnil, la Commission Nationale de l’Informatique et des Libertés vient d’infliger à Carrefour la plus grosse amende jamais attribuée à une entreprise française pour non-respect du RGPD dans les données personnelles collectées.
Carrefour France et sa filiale Carrefour Banque ont écopé en novembre 2020 d’amendes à hauteur de 2 250 000€ et 800 000€ respectivement. Ces amendes émanant de la Cnil (la Commission Nationale de l’Informatique et des Libertés) sanctionnent des manquements passés à l’article 13 du RGPD (Règlement Général de Protection des Données). En effet, l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, ainsi qu’aux futurs adhérents de la carte de paiement et de fidélité Pass n’était pas accessible facilement. Il s’agit selon la Cnil d’un manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés) : « Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt ».
Non-respect des durées de conservations des données fixées…
Autre reproche de la Cnil et des plaignants : « la société Carrefour France ne respectait pas les durées de conservations des données qu’elle avait fixé ». Ainsi, les profils de quelque 28 millions de clients du programme de fidélité et les quelques 750.000 utilisateurs du site carrefour.fr étaient ainsi conservés… même s’ils étaient inactifs depuis cinq à dix ans. Conformément à l’esprit de l’article 5.1.e du RGPD, la Cnil considère qu’une durée dépassant quatre ans après le dernier achat est excessive.
… Et de leur transmission voire de leur stockage en dehors de l’Europe
Carrefour Banque a également communiqué au programme de fidélité de l’enseigne l’adresse postale, le numéro de téléphone ou le nombre d’enfants de personnes souscrivant à une offre de crédit, alors que selon l’information vérifiée par la Cnil, « elle indiquait explicitement qu’aucune de ces données n’était transmise ».
De même, la CNIL a d’ailleurs jugé insuffisante l’information aux utilisateurs sur le site général de l’enseigne concernant le stockage et le transfert des données collectées par Carrefour hors de l’Union Européenne. A l’instar de nombre de ses confrères également très présents à l’international, l’enseigne française utilise notamment les clouds des Gafam pour fluidifier son système d’information. Rappelons que le Conseil d’Etat avait confirmé en 2020 l’amende de 50 millions d’euros contre Google pour non-respect des données personnelles
Le régulateur précise toutefois dans son communiqué de fin novembre qu’il a « constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés ».
