Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

C'est une sacrée gifle que vient de se prendre Carrefour. Après plusieurs contrôles plus tôt dans l'année, la Cnil a remarqué que le groupe de supermarchés et sa filiale Carrefour Banque avaient une conception assez laxiste du RGPD.

RGPD : 3 millions d'euros d'amende et une pluie de reproches pour Carrefour

Voilà qui devrait envoyer un signal fort. Dans un arrêt rendu le 26 novembre, la Cnil vient d'infliger une amende d'un peu plus de 3 millions d'euros au groupe carrefour pour des manquements au RGPD. Techniquement, l'amende se divise en deux avec 2,25 millions d'euros pour la chaîne de supermarchés et 800 000 € pour la filiale Carrefour Banque.

Entre mai et juillet 2019, le gendarme des données personnelles a effectué des contrôles dans les deux structures à la suite de plusieurs plaintes et a découvert que "les sociétés avaient manqué à plusieurs obligations prévues par le RGPD". Une manière polie de dire que Carrefour s'est fait épingler dans les grandes largeurs. En tout, c'est pas moins de 6 entorses à différents articles du RGPD et de la loi informatique et libertés que la Cnil a relevées. Attention, la liste donne le tournis.

Dépôt de cookies publicitaires sans consentement

Tout d'abord, il est reproché au groupe des manquements dans l'information aux clients. "L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr […] n’était pas facilement accessible […] ni facilement compréhensible", explique la Cnil. Termes cryptiques noyés sous un flot d'informations inutiles, absence d'informations quant au transfert des données hors de l'UE, information incomplète sur la durée de conservation des données — n'en jetez plus. Sur ce dernier point d'ailleurs, la Cnil a découvert que les données "de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité". Une violation flagrante de l'article 5.1.e du RGPD. Les informations de 750 000 utilisateurs du site Carrefour inactifs depuis cinq à dix ans étaient également gardées au chaud.

Pour ne rien arranger, la simple connexion au site Carrefour.fr déclenchait le dépôt de plusieurs cookies (dont certains servaient à la publicité) sur le terminal de l'internaute sans son consentement. Un manquement à l'article 82 de la loi informatique et libertés qui stipule que "tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète […] de la finalité de toute action tendant […] à inscrire des informations dans [un] équipement".

Une circulation un peu trop libre des données

La gestion des données faites par Carrefour et Carrefour Banque est aussi largement critiquée. La société n'a pas donné suite à la demande de plusieurs personnes souhaitant accéder à leurs données personnelles, "n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire" et n'a pas pris en compte des demandes de personnes s'étant opposées à recevoir des pubs par SMS ou e-mail. Des entorses aux articles 15, 17 et 21 du RGPD et de l'article L34-5 du code des postes et des communications électroniques.

Enfin, la Cnil souligne en dernier point "un manquement à l’obligation de traiter les données de manière loyale". La frontière entre le programme de fidélité de Carrefour et le programme de carte de crédit de Carrefour Banque était trop poreuse. Au lieu de ne partager que le nom, prénom et adresse de courrier électronique comme indiqué, les branches de l'entreprise se transmettaient aussi "l’adresse postale, le numéro de téléphone et le nombre d'enfants" des clients.

La liste des reproches est donc longue, mais la Cnil n'a prononcé aucune injonction puisque "des efforts importants avaient permis la mise en conformité sur tous les manquements relevés". Sur chaque point soulevé par la Cnil, il est en effet précisé que les pratiques ont été modifiées durant la procédure d'audit et que "d’importants moyens humains et organisationnels" ont été déployés pour corriger le tir.

RGPD : 3 millions d'euros d'amende et une pluie de reproches pour Carrefour

Partager cet article

Repost0
Pour être informé des derniers articles, inscrivez vous :