La CNIL a infligé une lourde amende de trois millions d’euros à Carrefour pour un manquement du RGPD avec les données personnelles. Cela concerne les sites de Carrefour et Carrefour Banque. Dans le détail, c’est 2,25 millions d’euros pour Carrefour et 800 000 euros pour Carrefour Banque.
Le gendarme français des données personnelles a effectué des contrôles entre mai et juillet 2019, à la suite de plaintes. La CNIL dit avoir constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels.
L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible. L’accès à l’information était trop compliqué, dans des documents très longs contenant d’autres informations. Ce n’était pas compréhensible également. L’information était rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées. De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements. Sur ce point, Carrefour a modifié ses mentions d’information et sites durant la procédure pour se mettre en conformité.
Des manquements de Carrefour pour les données avec la publicité
La CNIL pointe également du doigt l’usage des cookies par Carrefour. Des cookies servant à la publicité étaient déposés dans le navigateur de l’internaute sans son accord. Le Règlement général sur la protection des données (RGPD) impose d’obtenir un tel accord.
Carrefour Banque a également communiqué au programme de fidélité de l’enseigne l’adresse postale, le numéro de téléphone ou le nombre d’enfants de personnes souscrivant à une offre de crédit. C’était contraire à ses conditions qui n’évoquaient aucun transfert d’information.
Enfin, Carrefour n’a pas respecté pas les durées de conservations des données qu’elle avait fixées. Les profils de quelque 28 millions de clients du programme de fidélité et 750 000 utilisateurs du site carrefour.fr, inactifs depuis 5 à 10 ans, étaient ainsi conservés. La CNIL considère qu’une durée dépassant 4 ans après le dernier achat est excessive.
Un commentaire pour cet article :