Carrefour épinglé par la Cnil et condamné à plus de 3 millions d’euros d’amende

par | 27 11 2020 | Données personnelles, RGPD

Le géant de la grande distribution avait jusqu’à récemment des pratiques quelque peu répréhensibles quant aux données de ses clients. La Cnil lui inflige une volée de bois vert, et une sévère amende, mais reconnaît les efforts faits par Carrefour depuis ses contrôles, l’enseigne s’étant mise en conformité avec le cadre réglementaire. 

La Cnil vient d’infliger une amende particulièrement salée au groupe Carrefour. Après avoir été saisie de plusieurs plaintes, le régulateur a effectué plusieurs contrôles auprès du géant de la grande distribution et de sa filiale Carrefour Banque. Il y découvre de nombreux manquements à la réglementation en vigueur quant au traitement des données personnelles de ses clients et prospects.

La liste des infractions est longue, à commencer par le défaut d’information des personnes. Carrefour et sa filiale bancaire, sur leurs sites Internet respectifs, ne donnaient pas aisément l’accès à leurs politiques quant aux données de leurs utilisateurs, et quand bien même l’internaute trouvait les précieux documents, ceux-ci n’étaient guère compréhensibles, la Cnil précisant que les informations étaient “rédigées en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées”, voire étaient incomplètes, notamment en ce qui concerne la durée de conservation des données ou encore les transferts hors UE.

Pas très RGPD

Et des données, Carrefour en collectait. Le gendarme des données personnelles a ainsi remarqué que, sur ces mêmes sites, plusieurs cookies publicitaires étaient automatiquement déposés sur son terminal, avant toute action de l’internaute, sans donc leur consentement. Ces données étaient ensuite conservées longtemps, trop longtemps aux yeux de la Cnil : “les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans”. D’autant que la durée limite, fixée par l’enseigne à quatre ans après le dernier achat, semble excessive selon le régulateur.

S’ajoutent en outre à la liste des manquements aux droits d’accès, de recours et de suppression. Elle exigeait notamment des plaignants un justificatif d’identité pour toute demande d’exercice de droit, quand bien même le requérant était déjà identifié. “Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles” signale la Cnil.

Douloureuse

Dernier point, si Carrefour Banque indiquait à ses clients qu’il partageait leurs nom, prénom et adresse email, précisant bien qu’aucune autre donnée ne serait transmise au sein du groupe, tel n’était pas le cas, le gendarme des données personnelles découvrant lors de ses contrôles que l’adresse postale, le numéro de téléphone et le nombre des enfants de l’utilisateur étaient bel et bien partagés avec Carrefour.

Bilan, 2,25 millions d’euros d’amende pour Carrefour, et 800000 euros supplémentaires pour Carrefour Banque. Toutefois, la sanction s’arrête là, le groupe ayant mis les bouchées doubles depuis les contrôles de la Cnil pour se mettre en conformité sur l’ensemble de ces points. Ce sur quoi Carrefour axe sa communication, à croire que la décision du régulateur soit une victoire pour le distributeur qui se félicite sur Twitter d’avoir rattrapé son “retard en matière digitale”.

0 commentaires

À LIRE AUSSI…

Vos abonnements

  • Vous n'êtes pas connecté

Derniers commentaires

  • Kleber sur Orange vend (enfin) sa fibre: “Ca fait 7 ans que j’attends la fibre optique dans mon village. On m’avait déjà écrit que des travaux étaient…Jan 28, 06:28
  • David FRABOULET sur 2 millions d’euros pour le Campus Cyber: “La Remarque précédente -à mon sens- pose plus précisément la question du lien organique à renforcer entre les forces vives…Jan 27, 14:53
  • vVDB sur [DOSSIER] Windows et Linux : la fusion continue: “Actuellement c’est Linux dans Windows, on peut imaginer une bascule pour le contraire. Resterai un Windows stabilisé pour la compatibilité…Jan 27, 12:46
  • Merlu orange sur Orange vend (enfin) sa fibre: “C’est surtout l’Europe qui nous dépouille de notre electricité et de nos réseaux téléphoniques prenant en compte les foyers Français…Jan 26, 21:38
  • Papillon33 sur Orange vend (enfin) sa fibre: “Stéphane Richard continue à dépouiller Orange de ses bijoux de famille.Jan 26, 18:42

Plus d’infos sur…

Prochains événements

  1. DISRUPTIV’ SUMMIT

    23 mars - 24 mars
  2. READY FOR IT

    17 mai - 19 mai
  3. FORUM INTERNATIONAL DE LA CYBERSÉCURITÉ

    8 juin - 10 juin

Inscription Newsletter