Carrefour condamné à 3 millions d’euros d’amende pour manquements à la protection des données personnelles
2,25 millions d'euros à Carrefour France et 800 000 euros à Carrefour Banque ont été infligés par le gendarme des données personnelles, la Cnil.
Jeudi, la Cnil a infligé respectivement 2,25 millions d’euros et 800 000 euros d’amende à Carrefour France et Carrefour Banque pour avoir enfreint les règles européennes sur les données personnelles (RGPD). “La Cnil a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels”, écrit le gendarme français des données personnelles qui avait été saisi de plusieurs plaintes et avait effectué des contrôles entre mai et juillet 2019. Cependant aucune injonction n’a été prononcée, car la Cnil a depuis “constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés”.
Des défaillances “passées et isolées”
Sur Twitter, Carrefour a indiqué que la décision “concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées”. Le groupe ajoute que ces pratiques n’ont donné lieu à “aucun avantage financier”. D’après le régulateur, Carrefour n’a pas suffisamment éclairé les utilisateurs de ses sites et les clients inscrits à son programme de fidélité sur la durée de conservation et les traitements, dont beaucoup étaient en plus irréguliers, appliqués à leurs données personnelles. Le RGPD, entré en vigueur en mai 2018 impose que les cookies (petits fichiers informatiques “traceurs” utilisés à des fins publicitaires) ne soient pas installés avant recueil du consentement de l’utilisateur. Ce qui n’était pas le cas en l’espèce. Enfin, “la société Carrefour France ne respectait pas les durées de conservations des données qu’elle avait fixées”. Les profils d’environ 28 millions de clients du programme de fidélité et 750 000 autres du site carrefour.fr, qui étaient en sommeil depuis 5 à 10 ans, étaient conservés. Or la Cnil estime qu’au-delà de 4 ans après le dernier acte d’achat, cette durée est excessive.
Le cas Carrefour Banque
L’amende de 800 000 euros infligée à Carrefour Banque est liée quant à elle communiqué au programme de fidélité de l’enseigne de distribution l’adresse postale, le numéro de téléphone ou encore le nombre d’enfants, de clients ayant souscrit une offre de crédit. Mais elle “indiquait explicitement qu’aucune” de ces données ne serait transmise. Depuis, Carrefour Banque a revu ses pratiques et son parcours de souscription en ligne.