La CNIL inflige des pénalités de 3,05 millions d’euros à deux sociétés du groupe Carrefour pour des infractions à la loi sur la protection des données et les cookies
Le 26 novembre 2020, l’autorité française de protection des données (la “CNIL”) a annoncé qu’elle avait imposé une amende de 2,25 millions d’euros à Carrefour France et une amende de 800 000 euros à Carrefour Banque pour diverses violations du règlement général de l’UE sur la protection des données (“GDPR”) et de l’article 82 de la loi française sur la protection des données régissant l’utilisation des cookies.
Contexte
Entre le 8 juin 2018 et le 6 avril 2019, la CNIL a reçu 15 plaintes de particuliers relatives à l’exercice de leurs droits en matière de protection des données auprès de filiales du groupe Carrefour. Les plaignants ont fait valoir que Carrefour (1) n’a pas donné suite à leurs demandes d’accès ou d’effacement des données ; (2) leur a envoyé des communications de marketing direct malgré le fait que les plaignants s’étaient opposés à la réception de ces communications ; ou (3) dans un cas, n’a pas permis au plaignant de se désabonner des courriels de marketing. La CNIL a effectué des contrôles en ligne sur les sites Internet carrefour.fr et carrefour-banque.fr et des contrôles sur place dans les locaux de Carrefour France et de la société mère du groupe, Carrefour SA. Ces inspections visaient à vérifier si Carrefour France et Carrefour Banque respectaient toutes les dispositions de la GDPR et de la loi française sur la protection des données.
Les inspections de la CNIL ont révélé que les deux sociétés ont enfreint plusieurs obligations de la GDPR et les exigences de l’article 82 de la loi française sur la protection des données lorsqu’elles ont traité des données relatives aux clients ou aux utilisateurs du web. Le 18 novembre 2020, la CNIL a imposé une amende à chaque société pour ces infractions. La CNIL n’a pas imposé d’autres sanctions, telles qu’une injonction de mise en conformité des traitements de données en question, car les deux sociétés Carrefour ont fait d’énormes efforts au cours de la procédure pour remédier à cette non-conformité.
Violations de la GDPR et des cookies
Dans sa décision à l’encontre de Carrefour France, la CNIL a estimé que l’entreprise n’avait pas respecté les exigences fondamentales de la GDPR et ses obligations en tant que responsable du traitement des données, notamment (1) l’obligation de limitation de la conservation des données ; (2) l’obligation de faciliter l’exercice des droits des personnes en matière de protection des données ; (3) l’obligation d’informer les personnes sur le traitement de leurs données personnelles sous une forme facilement accessible, en utilisant un langage clair et simple et de manière exhaustive (c’est-à-dire avec toutes les informations requises par la GDPR) ; (4) obligation de se conformer aux demandes de droits des sujets ; et (5) obligations d’assurer la sécurité des données personnelles et de notifier les violations de données personnelles. En outre, la CNIL a estimé que Carrefour France avait enfreint les exigences de la loi sur les cookies en installant automatiquement des cookies sur l’appareil de l’utilisateur lorsque celui-ci se rendait sur la page d’accueil du site carrefour.fr.
Dans sa décision à l’encontre de Carrefour Banque, la CNIL a estimé que la société n’avait pas respecté (1) l’obligation de traiter les données personnelles de manière équitable ; (2) l’obligation de notifier sous une forme facilement accessible, en utilisant un langage clair et simple et de manière exhaustive ; et (3) les exigences de la loi sur les cookies.
Les points saillants des décisions de la CNIL sont détaillés ci-dessous.
Gestionnaire de consentement des cookies | Faites un essai gratuit de 2 semaines
Faites un essai gratuit de 2 semaines pour nos forfaits payants ou créez un compte gratuit…
Limitation du stockage :
La CNIL a constaté que Carrefour France a défini une durée de conservation excessive des données personnelles de ses clients membres de son programme de fidélité. Les données des membres du programme de fidélité avaient été conservées pendant une période de quatre ans à compter de leur dernière activité. Selon la CNIL, la période de conservation de quatre ans est excessive : les données personnelles des clients inactifs n’auraient pas dû être conservées pendant plus de trois ans. En outre, la CNIL a constaté que Carrefour France conservait les données personnelles des membres du programme de fidélité et des internautes pendant une période plus longue que la période de conservation définie. Les inspections ont révélé que les données personnelles de plus de 28 millions de clients inactifs avaient été conservées pendant cinq à dix ans dans le cadre du programme de fidélité. De même, les données personnelles de plus de 750 000 internautes avaient été conservées pendant cinq à dix ans à compter de la date de leur dernière commande. Enfin, la CNIL a constaté que Carrefour France demandait systématiquement une copie d’une pièce d’identité lorsque des personnes exerçaient leurs droits en matière de protection des données et conservait cette copie pendant une période de un à six ans. Selon la CNIL, les copies de documents d’identité ne devraient être conservées que le temps nécessaire pour vérifier l’identité du demandeur. Dès que cette identité est confirmée, il n’est plus nécessaire de conserver une copie de la pièce d’identité. Carrefour France n’aurait dû archiver qu’une copie de sa réponse à l’individu à des fins de preuve. La CNIL a conclu que Carrefour France avait enfreint l’exigence de limitation de stockage de la GDPR.
Faciliter les droits des individus :
La CNIL a souligné qu’il est excessif de demander une copie d’une pièce d’identité pour chaque demande de droits des sujets. Une pièce d’identité n’aurait dû être demandée que dans les cas où la société avait un doute raisonnable quant à l’identité du demandeur. En outre, la CNIL a estimé que Carrefour France ne s’était pas conformée aux demandes de droits thématiques dans le délai d’un mois requis par la GDPR. Dans certains cas, les personnes n’ont pas eu de nouvelles de l’entreprise pendant une période allant jusqu’à neuf mois. Carrefour France a expliqué que l’entrée en application de la GDPR a entraîné une augmentation des demandes de droits thématiques (d’une à deux demandes par jour avant le 25 mai 2018 à parfois plus de 75 demandes par jour après cette date). La CNIL a précisé que l’entreprise aurait dû anticiper cette augmentation du nombre de demandes et a conclu que l’entreprise avait enfreint l’article 12 de la GDPR. La CNIL a noté que l’entreprise a adopté au cours de la procédure de nouveaux outils ad hoc pour traiter les demandes de droits thématiques et peut désormais répondre à ces demandes, en moyenne, dans un délai de moins de 15 jours.
Respect des demandes de droits des particuliers :
La CNIL a également constaté que Carrefour France n’a pas répondu à plusieurs demandes de droits des personnes, notamment les demandes d’accès aux données personnelles, les demandes d’effacement des données personnelles et l’opposition des personnes à la réception de communications de marketing direct par SMS ou par courrier électronique. En particulier, la CNIL a noté que l’une des demandes d’effacement concernait l’adresse électronique utilisée par l’entreprise à des fins de marketing direct. L’inspection de la CNIL a révélé que l’adresse électronique n’avait pas été effacée. La société a expliqué qu’elle ne pouvait pas effacer l’adresse électronique parce qu’elle utilisait l’adresse électronique des personnes comme point d’entrée dans la base de données. La CNIL a constaté que l’entreprise devait mettre en place un système d’organisation de sa base de données clients de manière à pouvoir répondre aux demandes de droits d’auteur.
Vous êtes une agence, un webdesigner ou tout autre revendeur ?
Gagnez 30% de commission, jetez un coup d’œil à notre modèle revendeur ou contactez-nous pour un nombre de clients supérieur à 500.
Avis aux particuliers :
La CNIL a constaté que l’avis fourni aux internautes et aux clients qui souhaitent s’inscrire au programme de fidélité ou à la carte de paiement de Carrefour n’était pas facilement accessible. L’avis relatif au traitement de leurs données personnelles était dispersé et fragmenté entre plusieurs documents (conditions générales d’utilisation, conditions générales de vente, page relative à la protection des données personnelles, page dédiée à l’exercice des droits des personnes physiques en matière de protection des données). En outre, la notice a été rédigée en utilisant des termes larges, vagues ou peu clairs, tels que “ces activités de traitement comprennent, sans limitation,” “vos données peuvent être traitées pour une ou plusieurs des finalités suivantes”, “vos données peuvent être utilisées” ou “certaines données vous concernant sont utilisées”. Selon la CNIL, ces termes ne permettent pas aux personnes de comprendre l’étendue du traitement de leurs données personnelles. De même, des termes généraux tels que “vous avez également le droit d’obtenir la limitation d’une activité de traitement de données, et le droit à la portabilité des données que vous avez pu fournir, qui peut s’appliquer dans certains cas”, ne permettaient pas aux individus de comprendre les situations dans lesquelles leurs droits s’appliquent et les conditions de leur application. En outre, la CNIL a estimé que les informations étaient incomplètes et insuffisantes. En particulier, la CNIL a constaté que les informations fournies sur les sites Internet carrefour.fr et carrefour-banque.fr ne précisaient pas les durées de conservation de toutes les données collectées ni toutes les finalités du traitement des données, y compris les données collectées par les cookies. Selon la CNIL, il n’était pas suffisant de préciser que “les données personnelles sont conservées pendant les délais de prescription applicables” ou que “la conservation de vos données par Carrefour Banque varie en fonction des lois et règlements applicables”.
Obtenir le consentement des utilisateurs pour les cookies non essentiels :
La CNIL a constaté que des cookies étaient automatiquement placés sur les sites carrefour.fr et carrefour-banque.fr avant toute action des internautes. La CNIL a noté que cela incluait certains cookies non essentiels tels que les cookies de Google Analytics, et que les données collectées par ces cookies pouvaient être utilisées avec des données provenant d’autres activités de traitement pour diffuser des annonces ciblées. En conséquence, ces cookies ne pouvaient être mis en place que si l’utilisateur les acceptait.
Pénalités de la CNIL
Il est intéressant de noter que, pour fixer l’amende à Carrefour France, la CNIL s’est appuyée sur la notion d'”entreprise” au sens du droit européen de la concurrence pour prendre en compte non seulement les revenus de Carrefour France mais aussi les revenus plus élevés de ses deux filiales qui ont bénéficié des activités de traitement de données en question. Carrefour France et Carrefour Banque peuvent désormais faire appel des décisions de la CNIL dans un délai de deux mois devant le Conseil d’État.