Carrefour condamné à 3 millions d'euros d'amende pour non respect du RGPD

|

Le gendarme des données personnelles, la Cnil, a constaté plusieurs entorses aux règles européennes en la matière par l'enseigne et sa filiale bancaire. Ces manquements ont depuis été corrigés.

Le régulateur des données personnelles a découvert des manquements concernant les données clients de Carrefour France et Carrefour Banque lors de contrôles effectués entre mai et juillet 2019.
Le régulateur des données personnelles a découvert des manquements concernant les données clients de Carrefour France et Carrefour Banque lors de contrôles effectués entre mai et juillet 2019.

C’est une lourde sanction que vient d’infliger le gendarme français des données personnelles à la Carrefour. La Cnil a enjoint le groupe à s’acquitter d’une amende de plus de 3 millions d’euros pour avoir enfreint le règlement européen sur la protection des données (RGPD), a-t-elle annoncé jeudi 26 novembre. 

Saisie par plusieurs plaintes de clients, la Cnil a effectué des contrôles entre mai et juillet 2019, au cours desquels elle a “constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels”, a fait savoir le régulateur dans un communiqué. Deux filiales du distributeur sont visées : Carrefour France et Carrefour Banque, qui propose notamment des crédits à la consommation et des produits d'épargne ou d’assurance. La première va devoir régler une amende 2,25 millions d’euros, et la seconde 800 000 euros. 

Des traceurs de navigation non consentis 

La Cnil reproche à ces deux sociétés d’avoir fourni aux utilisateurs de leur site et aux adhérents du programme de fidélité ou de la carte Pass une information “pas facilement accessible (...) ni facilement compréhensible”, et par ailleurs “incomplète en ce qui concerne la durée des conservations des données”

Le régulateur a également constaté que lorsqu’un internaute naviguait sur les sites de Carrefour et de Carrefour Banque, des “cookies” - des traceurs servant à la publicité - “étaient automatiquement déposés sur son terminal, avant toute action de sa part" alors que le RGPD impose le consentement de l’utilisateur. 

Les données de clients de Carrefour Banque utilisées par le distributeur

Autre grief formulé par la Cnil, l’utilisation abusive par le programme de fidélité de Carrefour des données des clients souscrivant à la carte Pass de la filiale bancaire. Leur adresse postale, leur numéro de téléphone et leur nombre d’enfants étaient ainsi transmises à l’enseigne alors qu’ils avaient consenti à ce que seuls leur nom, prénom et adresse mail soit communiqués.

Enfin, Carrefour France a également pêché sur la durée de conservation des données personnelles, strictement encadrées par les règles européennes. "Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans", note ainsi l’autorité, qui considère comme excessive une conservation des données des clients au-delà de 4 ans.

L’enseigne de distribution n’a par ailleurs “pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles”, indique la Cnil dans son communiqué. 

Le groupe aujourd'hui en conformité

Le groupe Carrefour a réagi ce jeudi à cette sanction sur Twitter, en rappelant qu’elle “concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées". Se disant désormais en conformité avec le RGPD, Carrefour a souligné “qu’aucune donnée sensible n’était concernée (...) et que le groupe n’en a tiré aucun avantage financier”. Aucune injonction n’a du reste été prononcée par la Cnil, celle-ci ayant “constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.”

Cette amende intervient dans le contexte d’une numérisation à marche forcée de nombreux commerces pour compenser la perte d’activité liée au reconfinement. Elle rappelle l’importance pour ces entreprises de mettre à disposition de leurs clients des services en ligne conformes au RGPD, dont la Cnil veille au respect depuis son entrée en vigueur en mai 2018. 

Testez LeMoniteur.fr en mode abonné. Gratuit et sans engagement pendant 15 jours.

Toutes les actus de la consommation et de la distribution

je m’inscris à la newsletter

Appels d’offres

Accéder à tous les appels d’offres