Sanciones de 2.250.000 euros y 800.000 euros para las empresas Carrefour Francia y Carrefour Banque
Tras recibir varias denuncias, la CNIL ha sancionado a dos empresas del grupo CARREFOUR por infracciones de la RGPD relativas, en particular, a la información proporcionada a los particulares y al respeto de sus derechos.
Tras recibir varias denuncias contra el grupo CARREFOUR, la CNIL realizó inspecciones entre mayo y julio de 2019 en CARREFOUR FRANCE (sector minorista) y en CARREFOUR BANQUE (sector bancario). En esta ocasión, la CNIL observó deficiencias en el tratamiento de los datos de los clientes y usuarios potenciales. El Presidente de la CNIL decidió por lo tanto iniciar un procedimiento de sanción contra estas empresas.
Al término de este procedimiento, el Grupo restringido -el órgano de la CNIL encargado de pronunciar las sanciones- consideró efectivamente que las empresas habían incumplido varias obligaciones previstas en el RGPD.
Así pues, sancionó a CARREFOUR FRANCE con una multa de 2.250.000 euros y a CARREFOUR BANQUE con una multa de 800.000 euros. 800,000. Por otra parte, no emitió un mandamiento judicial, ya que observó que se habían hecho esfuerzos importantes para que todas las infracciones observadas se cumplieran.
Incumplimientos de la obligación de informar a los particulares (artículo 13 del RGPD)
La información proporcionada a los usuarios de los sitios carrefour.fr y carrefour-banque.fr, así como a las personas que deseaban adherirse al programa de fidelidad o a la tarjeta Pass, no era fácilmente accesible (acceso a información demasiado complicada, en documentos muy largos que contenían otra información), ni fácilmente comprensible (información redactada en términos generales e imprecisos, utilizando a veces una redacción innecesariamente complicada). Además, era incompleta con respecto al tiempo de conservación de los datos.
En lo que respecta al sitio carrefour.fr, la información era también insuficiente en lo que respecta a las transferencias de datos fuera de la Unión Europea y al fundamento jurídico de las operaciones de tratamiento (ficheros).
En este punto, las empresas han modificado sus menciones de información y los sitios web durante el procedimiento para cumplir.
Administrador para consentimiento de cookies | Pruébalo gratis durante 2 semanas
Evalúa gratis nuestros planes de pago durante 2 semanas o crea una cuenta gratuita …
Deficiencias relativas a las cookies (artículo 82 de la ley de protección de datos)
La CNIL observó que cuando un usuario se conectaba al sitio carrefour.fr o carrefour-banque.fr, se depositaban automáticamente varias cookies en su terminal, antes de cualquier acción por su parte. Varios de estos cookies se utilizaban para la publicidad, el consentimiento del usuario debería haber sido recogido antes del depósito.
Las empresas modificaron, durante el procedimiento, el funcionamiento de sus sitios web. Ya no se depositan más cookies de publicidad antes de que el usuario haya dado su consentimiento.
El incumplimiento de la obligación de limitar el período de conservación de los datos (artículo 5.1.e de la RGPD)
La empresa CARREFOUR FRANCE no respetó los períodos de retención de datos que había establecido. Los datos de más de veintiocho millones de clientes que habían estado inactivos de cinco a diez años se mantenían como parte del programa de lealtad. Lo mismo ocurría con 750.000 usuarios del sitio web carrefour.fr que habían estado inactivos de cinco a diez años.
Además, en este caso, la formación restringida considera que un período de retención de 4 años para los datos de los clientes después de su última compra es excesivo. En efecto, esta duración, retenida inicialmente por la empresa, supera lo que parece necesario en el ámbito de la gran distribución, habida cuenta de los hábitos de consumo de los clientes que realizan principalmente compras regulares.
Durante el procedimiento, CARREFOUR FRANCE comprometió importantes recursos para realizar los cambios necesarios para que se ajuste a la RGPD. En particular, se han suprimido todos los datos demasiado antiguos.
El incumplimiento de la obligación de facilitar el ejercicio de los derechos (artículo 12 de la RGPD)
La sociedad CARREFOUR FRANCE exigía, salvo oposición a la prospección comercial, la prueba de identidad para cualquier solicitud de ejercicio de un derecho. Esta solicitud sistemática no estaba justificada, ya que no había ninguna duda sobre la identidad de las personas que ejercían sus derechos. Además, la empresa no pudo tramitar varias solicitudes de ejercicio de derechos en los plazos exigidos por el RGPD.
En estos dos puntos, la empresa cambió sus prácticas durante el procedimiento. En particular, desplegó importantes recursos humanos y organizativos para responder a todas las solicitudes recibidas en menos de un mes.
¿Eres una agencia, diseñador web u otro distribuidor?
Obtén una comisión del 30%, échale un vistazo a nuestro modelo para distribuidores o contáctanos para números superiores a 500 clientes
La falta de respeto de los derechos (artículos 15, 17 y 21 de la RGPD y L34-5 del Código de Comunicaciones Postales y Electrónicas)
En primer lugar, la empresa CARREFOUR FRANCE no ha respondido a varias solicitudes de personas que desean acceder a sus datos personales. La empresa se dirigió a todas las personas afectadas durante el procedimiento.
En segundo lugar, en varios casos, la empresa no procedió a la supresión de los datos solicitados por varias personas cuando debería haberlo hecho. También en este punto, la empresa ha atendido todas las solicitudes durante el procedimiento.
Por último, la empresa no tuvo en cuenta varias solicitudes de personas que se oponían a recibir publicidad por SMS o correo electrónico, en particular debido a errores técnicos específicos. La empresa también cumplió durante el procedimiento en este punto.
El incumplimiento de la obligación de tratar los datos de manera justa (artículo 5 de la RGPD)
Cuando una persona suscrita a la tarjeta Pass (una tarjeta de crédito que se puede adjuntar a la cuenta de fidelidad) también deseaba unirse al programa de fidelidad, tenía que marcar una casilla indicando que aceptaba que CARREFOUR BANQUE comunicara a “Carrefour fidélité” su apellido, nombre y dirección de correo electrónico. CARREFOUR BANQUE indicó explícitamente que no se transmitirían otros datos. Sin embargo, la CNIL observó que se transmitían otros datos, como la dirección postal, el número de teléfono y el número de sus hijos, aunque la empresa se comprometió a no transmitir ningún otro dato.
En este punto, la empresa cambió sus prácticas durante el procedimiento. Ha revisado completamente su proceso de suscripción en línea para la tarjeta Pass y ahora se informa a las personas de todos los datos transmitidos a CARREFOUR FRANCE.