Dans un communiqué publié le jeudi 26 novembre 2020, la CNIL accuse le géant de l’hypermarché de « manquements concernant le traitement des données des clients et des utilisateurs potentiels ».

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire) et a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels.

▪ Des manquements à l’obligation d’informer les personnes

L’information fournie aux utilisateurs des sites CARREFOUR FRANCE et CARREFOUR BANQUE n’était pas facilement accessible (accès à l’information trop compliqué), pas facilement compréhensible, enfin, incomplète en ce qui concerne la durée de conservation des données.

▪ Des manquements relatifs aux cookies

Lors de la connexion de l’utilisateur, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part.

▪ Un manquement à l’obligation de limiter la durée de conservation des données

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées. Par ailleurs, une durée de conservation de 4 ans des données clients après leur dernier achat paraît excessive par rapport à ce qui apparaît nécessaire dans le domaine de la grande distribution.

▪ Un manquement à l’obligation de faciliter l’exercice des droits

La société CARREFOUR FRANCE n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

▪ Un manquement au respect des droits

La société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.

▪ Un manquement à l’obligation de traiter les données de manière loyale

Bien qu’il fût spécifiquement indiqué lors de l’inscription que CARREFOUR BANQUE ne communiquerait que des données restreintes à CARREFOUR France, il est apparu, que d’autres données avaient été à CARREFOUR France sans le consentement des inscrits.

Pour tous ces manquements, les sociétés CARREFOUR France et CARREFOUR BANQUE ont été sanctionnées d’une amende respectivement de 2 250 000 euros et de 800 000 euros.

Plus de deux ans après l’entrée en vigueur du RGPD, même les plus grands groupes industriels français ne se sont pas forcément conformés à la nouvelle réglementation. Désormais, la CNIL n’hésite plus à sanctionner, alors qu’à la lecture des différents manquements ayant conduit à ces sanctions, on constate qu’ils auraient pu être facilement évités en respectant les obligations d’information, de loyauté, de droit à la personne, les durées de conservation des données et les règles relatives aux cookies. Nous pouvons nous interroger sur les conséquences de cette décision sur les franchises locales. Les distributeurs locaux de CARREFOUR parviendront-ils à se mettre en conformité? Il est toujours temps pour les enseignes de se mettre en conformité avec le RGPD, UP 2 WORK vous accompagne avec une offre intégrale de services dédiés à la mise en conformité au Règlement Général de la Protection des Données (RGPD) : de la séance de sensibilisation au traitement des requêtes émises par les citoyens, en passant par la revue de conformité et la remise de feuilles de route stratégique.

Pour aller plus loin :

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE

Télécharger l’article en PDF