La CNIL, saisie de plusieurs plaintes, a prononcé, le 18 novembre 2020, deux sanctions : l’une de 2.250.000 à l’encontre de Carrefour France et l’autre, de 800.000 euros, à l’encontre de Carrefour Banque.
Saisie de plusieurs plaintes ciblant des sociétés du groupe Carrefour, la CNIL a réalisé des contrôles auprès de Carrefour France et Carrefour Banque, au cours desquels elle a constaté un certain nombre de manquements.
1. La CNIL a relevé que l’information délivrée aux utilisateurs des sites carrefour.fr et carrefour-banque.fr n’était pas facilement accessible (notamment, un lien vers la politique de protection des données ne figurait pas systématiquement sur les formulaires de collecte), que les documents en question étaient longs et que leur contenu n’était pas exclusivement dédié à la protection des données.
Certaines formulations ont également été jugées inutilement compliquées, d’autres, rédigées en des termes généraux et imprécis, nuisaient à la compréhension du document. Par ailleurs, la durée de conservation des données n’était pas précisée.
La CNIL a estimé qu’il s’agissait là de manquements à l’obligation d’information de l’article 13 du RGPD.
2. La CNIL a constaté, par ailleurs que des cookies publicitaires étaient déposés sur le terminal des internautes se rendant sur les sites carrefour.fr et carrefour-banque.fr, dès la connexion à la page d’accueil du site, avant toute action de leur part, en violation de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».
3. Carrefour France demandait systématiquement la production d’un justificatif d’identité aux personnes souhaitant exercer leurs droits et n’était pas toujours en mesure de traiter ces demandes d’exercice des droits dans les délais prévus par le RGPD.
Cela a caractérisé, pour la CNIL, un manquement à l’article 12 du RGPD.
4. La CNIL a également relevé que Carrefour France n’avait pas donné suite à plusieurs demandes de droit d’accès émanant de personnes concernées.
Elle n’avait pas non plus donné suite à des demandes droit à l’effacement, dans des situations où elle était tenue de le faire, ni pris en compte des demandes d’opposition à la réception de publicité par SMS ou courrier électronique.
Ces éléments ont constitué, pour la CNIL, des manquements aux articles 15, 17 et 21 du RGPD.
5. Carrefour Banque communiquait à « Carrefour Fidélité » (qui était, en réalité, un service de Carrefour France) plus de données, concernant les personnes souscrivant à la carte de fidélité « Pass », que celles figurant dans la liste communiquée aux personnes concernées et présentée comme limitative.
Cela a constitué, pour la CNIL, un manquement à l’obligation de traiter les données de façon loyale, telle que formulée à l’article 5 du RGPD.
La CNIL, bien qu’elle ait relevé que l’ensemble des manquements identifiés avaient été corrigés par les sociétés du groupe Carrefour, a sanctionné Carrefour France d’une amende de 2.250.000 euros et Carrefour Banque d’une amende de 800.000 euros.
Lien vers la décision concernant Carrefour France :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756
Lien vers la décision concernant Carrefour Banque :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657
