L’essentiel : La CNIL a infligé des amendes à Carrefour France et Carrefour Banque pour des violations du RGPD, notamment en matière d’information des utilisateurs et de respect de leurs droits. Les manquements incluent une information difficile d’accès et peu claire, ainsi que le dépôt de cookies sans consentement préalable. De plus, la société a conservé des données de clients inactifs pendant des périodes excessives et a exigé des justificatifs d’identité pour l’exercice des droits, ce qui n’était pas justifié. Ces sanctions soulignent l’importance de respecter les obligations de transparence et de protection des données personnelles.

La CNIL a prononcé deux sanctions de 2 250 000 euros et de 800 000 euros contre les  sociétés Carrefour France et Carrefour Banque pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits. Le Groupe Carrefour a corrigé l’ensemble des manquements relevés dans le rapport de sanction CNIL au cours de la procédure. Voici les 20 enseignements de cette affaire, à déployer (ou à vérifier en interne) :

Affaire Carrefour: 20 bons réflexes à mettre en œuvre

• Regroupez votre politique de données personnelles dans un document unique distinct des Conditions générales d’utilisation

• Permettre un accès facile à l’information des personnes sur leurs droits RGDP

• L’information délivrée doit être rédigée en des termes clairs et simples

• L’information délivrée doit être hiérarchisée et ordonnée

• Privilégiez un lien direct à votre politique de confidentialité / RGDP

• Informez précisément les personnes sur les destinataires de leurs données personnelles et les données précises transmises à ces destinataires

• Les durées de conservation des données personnelles doivent apparaître clairement (ex : sous forme de Tableaux)

• L’existence ou non d’un archivage (intermédiaire ou non) des données personnelles doit être précisée au consommateur (avec sa durée)

• Dans vos politiques de confidentialité, évitez les formulations trop vagues et l’usage récurrent de certaines locutions telles que «notamment», «dans certains cas», «entre autres» …

• Pas de dépôt de Cookies dès la connexion de l’internaute à un site, avant la collecte de son consentement

• Pas de durées de conservation des données personnelles excédant les durées nécessaires aux finalités des traitements (pour un programme de fidélité une durée de cinq à dix ans est excessive)

• Pour exercer un droit d’opposition, demander un justificatif d’identité de manière systématique est excessif

• Concernant les demandes d’accès ou d’opposition, être vigilant quant aux retards de traitement récurrents

• En cas de transfert de données personnelles, informez le consommateur sur les garanties entourant ce transfert

• Précisez la base légale applicable à chaque traitement de données mis en œuvre

• En cas de demande d’accès, le responsable est tenu d’informer le plaignant de l’origine des données collectées (y compris en cas de collecte indirecte, ex: rachat de société)

• Faire droit aux demandes d’effacement de ses données par un plaignant dans un délai raisonnable

• Concernant le périmètre de l’effacement des données, si certaines données peuvent être conservées, notamment au titre des obligations légales ou à des fins probatoires ou lorsque que la société dispose d’un motif légitime impérieux, les données personnelles non nécessaires dans le cadre du respect de ces autres obligations ou finalités doivent être supprimées

• Le responsable de traitement a l’obligation de se rapprocher de la personne à l’origine d’une demande d’opposition ou d’accès lorsqu’il estime que les demandes qu’il reçoit ne comportent pas tous les éléments lui permettant de procéder aux opérations qui lui sont demandées

• Toujours faire figurer un lien de désabonnement sur une liste de diffusion

• L’accès, à partir d’un navigateur, à des factures, par une adresse URL fixe (sans authentification nécessaire) est une violation de l’obligation de sécurité du responsable de traitement. L’ajout d’une chaîne de caractères aléatoire à l’URL ne suffit pas (l’authentification préalable est obligatoire).

• Le responsable du traitement a l’obligation de notifier toute violation de données à caractère personnel. Le principe est celui de la notification à l’autorité de contrôle. L’absence de notification n’est possible que par exception, lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes.

Manquements à l’obligation d’informer les personnes (article 13 du RGPD)

Dans l’affaire Carrefour, l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, la durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.

Manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du CPCE)

La société n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.

Manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, d’autres données que celles énoncées étaient transmises à Carrefour Banque, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée. Télécharger la décision 1 | Télécharger la décision 2

Q/R juridiques soulevées :

Quelles sanctions la CNIL a-t-elle prononcées contre Carrefour ?

La CNIL a infligé deux sanctions financières à Carrefour, s’élevant à 2 250 000 euros pour Carrefour France et 800 000 euros pour Carrefour Banque. Ces sanctions ont été prononcées en raison de manquements au Règlement Général sur la Protection des Données (RGPD), notamment en ce qui concerne l’information fournie aux utilisateurs et le respect de leurs droits. Ces amendes soulignent l’importance de la conformité au RGPD, qui vise à protéger les données personnelles des individus. Les manquements identifiés par la CNIL incluent des informations inaccessibles et peu claires, ainsi qu’un non-respect des droits des utilisateurs concernant leurs données personnelles.

Quels enseignements peuvent être tirés de l’affaire Carrefour ?

L’affaire Carrefour offre plusieurs enseignements cruciaux pour les entreprises en matière de protection des données. Parmi les 20 réflexes à adopter, il est recommandé de regrouper la politique de données personnelles dans un document distinct des Conditions Générales d’Utilisation. Cela permet une meilleure visibilité et compréhension pour les utilisateurs. Il est également essentiel de garantir un accès facile à l’information sur les droits RGPD des personnes. L’information fournie doit être rédigée en termes clairs et simples, et hiérarchisée pour faciliter la compréhension. Ces mesures visent à renforcer la transparence et la confiance des consommateurs envers les entreprises.

Comment Carrefour a-t-il manqué à son obligation d’informer les utilisateurs ?

Carrefour a été critiqué pour ne pas avoir fourni une information facilement accessible et compréhensible aux utilisateurs de ses sites web. Les documents d’information étaient jugés trop longs et complexes, rendant difficile la compréhension des droits des utilisateurs. De plus, l’information était incomplète, notamment concernant la durée de conservation des données. Ces manquements ont conduit à des sanctions, car ils vont à l’encontre des exigences de l’article 13 du RGPD, qui stipule que les utilisateurs doivent être informés de manière claire et précise sur le traitement de leurs données personnelles.

Quels problèmes ont été identifiés concernant les cookies sur les sites de Carrefour ?

La CNIL a constaté que Carrefour déposait automatiquement plusieurs cookies sur les terminaux des utilisateurs dès leur connexion aux sites carrefour.fr et carrefour-banque.fr, sans obtenir leur consentement préalable. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés, qui exige le consentement de l’utilisateur avant le dépôt de cookies, en particulier ceux utilisés à des fins publicitaires. En réponse à ces manquements, Carrefour a modifié le fonctionnement de ses sites pour s’assurer qu’aucun cookie publicitaire ne soit déposé avant que l’utilisateur n’ait donné son accord. Cela montre une volonté de se conformer aux exigences légales en matière de protection des données.

Quelles étaient les lacunes concernant la durée de conservation des données ?

Carrefour ne respectait pas les durées de conservation des données qu’elle avait établies. En effet, des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient conservées dans le cadre du programme de fidélité. De plus, la durée de conservation de quatre ans des données clients après leur dernier achat a été jugée excessive. Cette situation va à l’encontre de l’article 5.1.e du RGPD, qui stipule que les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées. Les entreprises doivent donc veiller à établir des politiques de conservation des données conformes aux exigences légales.

Comment Carrefour a-t-il manqué à l’obligation de faciliter l’exercice des droits des utilisateurs ?

Carrefour a exigé un justificatif d’identité pour toute demande d’exercice de droit, sauf pour l’opposition à la prospection commerciale. Cette exigence était jugée excessive, car il n’y avait pas de doute sur l’identité des personnes exerçant leurs droits. De plus, la société n’a pas été en mesure de traiter plusieurs demandes d’exercice de droits dans les délais requis par le RGPD. Cela constitue une violation de l’article 12 du RGPD, qui impose aux responsables de traitement de faciliter l’exercice des droits des personnes concernées.

Quels manquements ont été constatés concernant le respect des droits des utilisateurs ?

La société n’a pas répondu à plusieurs demandes d’accès aux données personnelles formulées par des utilisateurs. Dans certains cas, elle n’a pas procédé à l’effacement des données demandées, alors qu’elle aurait dû le faire. De plus, Carrefour n’a pas pris en compte les demandes d’opposition à la réception de publicités par SMS ou courrier électronique, en raison d’erreurs techniques. Ces manquements vont à l’encontre des articles 15, 17 et 21 du RGPD, qui garantissent aux utilisateurs le droit d’accès, d’effacement et d’opposition concernant leurs données personnelles.

Comment Carrefour a-t-il manqué à l’obligation de traiter les données de manière loyale ?

Lorsqu’une personne souscrivait à la carte Pass, Carrefour a transmis des données supplémentaires à Carrefour Banque, telles que l’adresse postale et le numéro de téléphone, en dépit de son engagement à ne transmettre que les données nécessaires. Ce manquement constitue une violation de l’article 5 du RGPD, qui impose aux entreprises de traiter les données personnelles de manière loyale et transparente. Les entreprises doivent s’assurer qu’elles respectent leurs engagements en matière de protection des données pour maintenir la confiance des consommateurs.