La CNIL a prononcé deux sanctions de 2 250 000 euros et de 800 000 euros contre les  sociétés Carrefour France et Carrefour Banque pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits. Le Groupe Carrefour a corrigé l’ensemble des manquements relevés dans le rapport de sanction CNIL au cours de la procédure. Voici les 20 enseignements de cette affaire, à déployer (ou à vérifier en interne) :

Affaire Carrefour : 20 bons réflexes à mettre en œuvre 

  • Regroupez votre politique de données personnelles dans un document unique distinct des Conditions générales d’utilisation
  • Permettre un accès facile à l’information des personnes sur leurs droits RGDP
  • L’information délivrée doit être rédigée en des termes clairs et simples
  • L’information délivrée doit être hiérarchisée et ordonnée
  • Privilégiez un lien direct à votre politique de confidentialité / RGDP  
  • Informez précisément les personnes sur les destinataires de leurs données personnelles et les données précises transmises à ces destinataires
  • Les durées de conservation des données personnelles doivent apparaître clairement (ex : sous forme de Tableaux)
  • L’existence ou non d’un archivage (intermédiaire ou non) des données personnelles doit être précisée au consommateur (avec sa durée)
  • Dans vos politiques de confidentialité, évitez les formulations trop vagues et l’usage récurrent de certaines locutions telles que « notamment », « dans certains cas », « entre autres » …  
  • Pas de dépôt de Cookies dès la connexion de l’internaute à un site, avant la collecte de son consentement 
  • Pas de durées de conservation des données personnelles excédant les durées nécessaires aux finalités des traitements (pour un programme de fidélité une durée de cinq à dix ans est excessive)
  • Pour exercer un droit d’opposition, demander un justificatif d’identité de manière systématique est excessif
  • Concernant les demandes d’accès ou d’opposition, être vigilant quant aux retards de traitement récurrents
  • En cas de transfert de données personnelles, informez le consommateur sur les garanties entourant ce transfert
  • Précisez la base légale applicable à chaque traitement de données mis en œuvre
  • En cas de demande d’accès, le responsable est tenu d’informer le plaignant de l’origine des données collectées (y compris en cas de collecte indirecte, ex : rachat de société)
  • Faire droit aux demandes d’effacement de ses données par un plaignant dans un délai raisonnable 
  • Concernant le périmètre de l’effacement des données, si certaines données peuvent être conservées, notamment au titre des obligations légales  ou à des fins probatoires ou lorsque que la société dispose d’un motif légitime impérieux,  les données personnelles non nécessaires dans le cadre du respect de ces autres obligations ou finalités  doivent être supprimées 
  • Le responsable de traitement a l’obligation de se rapprocher de la personne à l’origine d’une demande d’opposition ou d’accès lorsqu’il estime que les demandes qu’il reçoit ne comportent pas tous les éléments lui permettant de procéder aux opérations qui lui sont demandées
  • Toujours faire figurer un lien de désabonnement sur une liste de diffusion
  • L’accès, à partir d’un navigateur, à des factures, par une adresse URL fixe (sans authentification nécessaire) est une violation de l’obligation de sécurité du responsable de traitement. L’ajout d’une chaîne de caractères aléatoire à l’URL ne suffit pas (l’authentification préalable est obligatoire).
  • Le responsable du traitement a l’obligation de notifier toute violation de données à caractère personnel. Le principe est celui de la notification à l’autorité de contrôle.  L’absence de notification n’est possible que par exception, lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes.

Manquements à l’obligation d’informer les personnes (article 13 du RGPD)

Dans l’affaire Carrefour, l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, la durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.

Manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du CPCE)

La société n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.

Manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, d’autres données que celles énoncées étaient transmises à Carrefour Banque, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée. Télécharger la décision 1 | Télécharger la décision 2

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*