La CNIL a infligé des amendes à Carrefour France et Carrefour Banque pour des violations du RGPD, notamment en matière d’information des utilisateurs et de respect de leurs droits. Les manquements incluent une information difficile d’accès et peu claire, ainsi que le dépôt de cookies sans consentement préalable. De plus, la société a conservé des données de clients inactifs pendant des périodes excessives et a exigé des justificatifs d’identité pour l’exercice des droits, ce qui n’était pas justifié. Ces sanctions soulignent l’importance de respecter les obligations de transparence et de protection des données personnelles.. Consulter la source documentaire.

Quelles sanctions la CNIL a-t-elle prononcées contre Carrefour ?

La CNIL a infligé deux sanctions financières à Carrefour, s’élevant à 2 250 000 euros pour Carrefour France et 800 000 euros pour Carrefour Banque. Ces sanctions ont été prononcées en raison de manquements au Règlement Général sur la Protection des Données (RGPD), notamment en ce qui concerne l’information fournie aux utilisateurs et le respect de leurs droits.

Ces amendes soulignent l’importance de la conformité au RGPD, qui vise à protéger les données personnelles des individus. Les manquements identifiés par la CNIL incluent des informations inaccessibles et peu claires, ainsi qu’un non-respect des droits des utilisateurs concernant leurs données personnelles.

Quels enseignements peuvent être tirés de l’affaire Carrefour ?

L’affaire Carrefour offre plusieurs enseignements cruciaux pour les entreprises en matière de protection des données. Parmi les 20 réflexes à adopter, il est recommandé de regrouper la politique de données personnelles dans un document distinct des Conditions Générales d’Utilisation. Cela permet une meilleure visibilité et compréhension pour les utilisateurs.

Il est également essentiel de garantir un accès facile à l’information sur les droits RGPD des personnes. L’information fournie doit être rédigée en termes clairs et simples, et hiérarchisée pour faciliter la compréhension. Ces mesures visent à renforcer la transparence et la confiance des consommateurs envers les entreprises.

Comment Carrefour a-t-il manqué à son obligation d’informer les utilisateurs ?

Carrefour a été critiqué pour ne pas avoir fourni une information facilement accessible et compréhensible aux utilisateurs de ses sites web. Les documents d’information étaient jugés trop longs et complexes, rendant difficile la compréhension des droits des utilisateurs.

De plus, l’information était incomplète, notamment concernant la durée de conservation des données. Ces manquements ont conduit à des sanctions, car ils vont à l’encontre des exigences de l’article 13 du RGPD, qui stipule que les utilisateurs doivent être informés de manière claire et précise sur le traitement de leurs données personnelles.

Quels problèmes ont été identifiés concernant les cookies sur les sites de Carrefour ?

La CNIL a constaté que Carrefour déposait automatiquement plusieurs cookies sur les terminaux des utilisateurs dès leur connexion aux sites carrefour.fr et carrefour-banque.fr, sans obtenir leur consentement préalable. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés, qui exige le consentement de l’utilisateur avant le dépôt de cookies, en particulier ceux utilisés à des fins publicitaires.

En réponse à ces manquements, Carrefour a modifié le fonctionnement de ses sites pour s’assurer qu’aucun cookie publicitaire ne soit déposé avant que l’utilisateur n’ait donné son accord. Cela montre une volonté de se conformer aux exigences légales en matière de protection des données.

Quelles étaient les lacunes concernant la durée de conservation des données ?

Carrefour ne respectait pas les durées de conservation des données qu’elle avait établies. En effet, des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient conservées dans le cadre du programme de fidélité. De plus, la durée de conservation de quatre ans des données clients après leur dernier achat a été jugée excessive.

Cette situation va à l’encontre de l’article 5.1.e du RGPD, qui stipule que les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées. Les entreprises doivent donc veiller à établir des politiques de conservation des données conformes aux exigences légales.

Comment Carrefour a-t-il manqué à l’obligation de faciliter l’exercice des droits des utilisateurs ?

Carrefour a exigé un justificatif d’identité pour toute demande d’exercice de droit, sauf pour l’opposition à la prospection commerciale. Cette exigence était jugée excessive, car il n’y avait pas de doute sur l’identité des personnes exerçant leurs droits.

De plus, la société n’a pas été en mesure de traiter plusieurs demandes d’exercice de droits dans les délais requis par le RGPD. Cela constitue une violation de l’article 12 du RGPD, qui impose aux responsables de traitement de faciliter l’exercice des droits des personnes concernées.

Quels manquements ont été constatés concernant le respect des droits des utilisateurs ?

La société n’a pas répondu à plusieurs demandes d’accès aux données personnelles formulées par des utilisateurs. Dans certains cas, elle n’a pas procédé à l’effacement des données demandées, alors qu’elle aurait dû le faire.

De plus, Carrefour n’a pas pris en compte les demandes d’opposition à la réception de publicités par SMS ou courrier électronique, en raison d’erreurs techniques. Ces manquements vont à l’encontre des articles 15, 17 et 21 du RGPD, qui garantissent aux utilisateurs le droit d’accès, d’effacement et d’opposition concernant leurs données personnelles.

Comment Carrefour a-t-il manqué à l’obligation de traiter les données de manière loyale ?

Lorsqu’une personne souscrivait à la carte Pass, Carrefour a transmis des données supplémentaires à Carrefour Banque, telles que l’adresse postale et le numéro de téléphone, en dépit de son engagement à ne transmettre que les données nécessaires.

Ce manquement constitue une violation de l’article 5 du RGPD, qui impose aux entreprises de traiter les données personnelles de manière loyale et transparente. Les entreprises doivent s’assurer qu’elles respectent leurs engagements en matière de protection des données pour maintenir la confiance des consommateurs.