Carrefour épinglé par la Cnil et condamné à plus de 3 millions d’euros d’amende

Le géant de la grande distribution avait jusqu’à récemment des pratiques quelque peu répréhensibles quant aux données de ses clients. La Cnil lui inflige une volée de bois vert, et une sévère amende, mais reconnaît les efforts faits par Carrefour depuis ses contrôles, l’enseigne s’étant mise en conformité avec le cadre réglementaire.  La Cnil vient d’infliger une amende particulièrement salée au groupe Carrefour. Après avoir été saisie de plusieurs plaintes, le régulateur a effectué plusieurs contrôles auprès du géant de la grande distribution et de sa filiale Carrefour Banque. Il y découvre de nombreux manquements à la réglementation en vigueur quant au traitement des données personnelles de ses clients et prospects. La liste des infractions est longue, à commencer par le défaut d’information des personnes. Carrefour et sa filiale bancaire, sur leurs sites Internet respectifs, ne donnaient pas aisément l’accès à leurs politiques quant aux données de leurs utilisateurs, et quand bien même l’internaute trouvait les précieux documents, ceux-ci n’étaient guère compréhensibles, la Cnil précisant que les informations étaient “rédigées en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées”, voire étaient incomplètes, notamment en ce qui concerne la durée de conservation des données ou encore les transferts hors UE.

Pas très RGPD

Et des données, Carrefour en collectait. Le gendarme des données personnelles a ainsi remarqué que, sur ces mêmes sites, plusieurs cookies publicitaires étaient automatiquement déposés sur son terminal, avant toute action de l’internaute, sans donc leur consentement. Ces données étaient ensuite conservées longtemps, trop longtemps aux yeux de la Cnil : “les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans”. D’autant que la durée limite, fixée par l’enseigne à quatre ans après le dernier achat, semble excessive selon le régulateur. S’ajoutent en outre à la liste des manquements aux droits d’accès, de recours et de suppression. Elle exigeait notamment des plaignants un justificatif d’identité pour toute demande d’exercice de droit, quand bien même le requérant était déjà identifié. “Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles” signale la Cnil.

Douloureuse

Dernier point, si Carrefour Banque indiquait à ses clients qu’il partageait leurs nom, prénom et adresse email, précisant bien qu’aucune autre donnée ne serait transmise au sein du groupe, tel n’était pas le cas, le gendarme des données personnelles découvrant lors de ses contrôles que l’adresse postale, le numéro de téléphone et le nombre des enfants de l’utilisateur étaient bel et bien partagés avec Carrefour. Bilan, 2,25 millions d’euros d’amende pour Carrefour, et 800000 euros supplémentaires pour Carrefour Banque. Toutefois, la sanction s’arrête là, le groupe ayant mis les bouchées doubles depuis les contrôles de la Cnil pour se mettre en conformité sur l’ensemble de ces points. Ce sur quoi Carrefour axe sa communication, à croire que la décision du régulateur soit une victoire pour le distributeur qui se félicite sur Twitter d’avoir rattrapé son “retard en matière digitale”.