Données personnelles : Nouvelles sanctions prononcées par la CNIL !

Les sociétés Carrefour France et Carrefour Banques ont été sanctionnées respectivement à hauteur de 2 250 000 euros et 800 000 euros pour de nombreux manquements au RGPD.

En 2019, après avoir été saisie par de nombreuses plaintes, la CNIL a initié plusieurs contrôles auprès de deux de sociétés composant le Groupe Carrefour.

A la suite de ces contrôles, l’Autorité administrative a alors constaté que :

  • Ces dernières avaient fourni aux utilisateurs de leur site et aux adhérents du programme de fidélité une information peu accessible, peu compréhensible et incomplète concernant la durée des conservations des données, les transferts de données hors de l’Union européenne et la base légale des traitements.
  • A l’égard des cookies, aucun consentement de l’utilisateur n’était a priori recueilli. Ces traceurs étaient donc automatiquement déposés sur son terminal.
  • Le programme de fidélité de Carrefour Banque a utilisé de manière abusive les données des clients dans la mesure où leur adresse postale, leur numéro de téléphone et leur nombre d’enfants étaient transmis alors même qu’ils n’avaient consenti qu’à la communication de leur nom, prénom et adresse mail.
  • La durée de conservation des données n’était pas celle que les sociétés Carrefour France avaient fixé et était excessive dans la mesure où de nombreuses données de clients inactifs étaient conservées depuis cinq à dix ans.
  • La durée de conservation de 4 ans, prévue par le Groupe, des données clients après leur dernier achat est excessive.
  • La société Carrefour France n’aurait pas donnée suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles et exigeait un justificatif d’identité, non nécessaire, pour l’exercice de ce droit.

Si le Groupe Carrefour a été fortement sanctionné pour les manquements susvisés, ce dernier a annoncé dans un communiqué avoir d’ores et déjà corrigé ses défaillances et s’être mis en conformité.

En raison du contexte sanitaire, la numérisation n’a cessé de se développer. Cette décision rappelle l’importance de respecter la règlementation relative aux données personnelles et par ricochet de vérifier sa mise en conformité au RGPD.

A cet égard, le Cabinet Baldassari vous accompagne dans vos actions de mise en conformité en procédant notamment à des audits des traitement, des études d’impact, l’élaboration d’un registre des traitements, la rédaction de contrats et mentions légales ainsi que pour toutes autres prestations nécessaires à cette mission.

Par Julie Gautier, élève avocate

Sources:

les derniers articles

Retour en haut

Julie Gautier

Avocate collaboratrice

Inscrite au barreau de Marseille depuis 2021, Julie possède un Master 1 en droit des affaires, un Master 2 en droit de la propriété intellectuelle ainsi qu’un DJCE. Ses expériences au sein de Cabinets d’avocats et d’entreprises comme le Groupe M6 lui permettent de saisir les enjeux complexes de la propriété intellectuelle et d’accompagner les créateurs et entrepreneurs dans leurs besoins en la matière.

Egalement médiatrice, cette compétence enrichit sa pratique du droit pour faciliter le dialogue en cas de conflit et favoriser des solutions amiables et créatives.

Passionnée par la transmission, Julie intervient en tant que chargée d’enseignement au sein du Groupe Mediaschool où elle enseigne le droit du numérique. Elle accompagne aussi régulièrement les étudiants dans leur orientation professionnelle via la plateforme Myjobglasses pour partager son expérience.

En parallèle de son activité, Julie a été membre élue de la Commission du Jeune Barreau de Marseille de 2021 à 2024 et est membre de plusieurs associations, dont :

Julie adore l’artisanat et la culture provençale, et aime participer à la protection de ces domaines. Elle pratique également le yoga et la randonnée, des activités qui renforcent la concentration et la persévérance, des qualités essentielles pour exercer la profession d’avocat.

Parcours détaillé