28 / Nov

Données personnelles : Nouvelles sanctions prononcées par la CNIL !

Les sociétés Carrefour France et Carrefour Banques ont été sanctionnées respectivement à hauteur de 2 250 000 euros et 800 000 euros pour de nombreux manquements au RGPD.

En 2019, après avoir été saisie par de nombreuses plaintes, la CNIL a initié plusieurs contrôles auprès de deux de sociétés composant le Groupe Carrefour.

A la suite de ces contrôles, l’Autorité administrative a alors constaté que :

  • Ces dernières avaient fourni aux utilisateurs de leur site et aux adhérents du programme de fidélité une information peu accessible, peu compréhensible et incomplète concernant la durée des conservations des données, les transferts de données hors de l’Union européenne et la base légale des traitements.
  • A l’égard des cookies, aucun consentement de l’utilisateur n’était a priori recueilli. Ces traceurs étaient donc automatiquement déposés sur son terminal.
  • Le programme de fidélité de Carrefour Banque a utilisé de manière abusive les données des clients dans la mesure où leur adresse postale, leur numéro de téléphone et leur nombre d’enfants étaient transmis alors même qu’ils n’avaient consenti qu’à la communication de leur nom, prénom et adresse mail.
  • La durée de conservation des données n’était pas celle que les sociétés Carrefour France avaient fixé et était excessive dans la mesure où de nombreuses données de clients inactifs étaient conservées depuis cinq à dix ans.
  • La durée de conservation de 4 ans, prévue par le Groupe, des données clients après leur dernier achat est excessive.
  • La société Carrefour France n’aurait pas donnée suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles et exigeait un justificatif d’identité, non nécessaire, pour l’exercice de ce droit.

Si le Groupe Carrefour a été fortement sanctionné pour les manquements susvisés, ce dernier a annoncé dans un communiqué avoir d’ores et déjà corrigé ses défaillances et s’être mis en conformité.

En raison du contexte sanitaire, la numérisation n’a cessé de se développer. Cette décision rappelle l’importance de respecter la règlementation relative aux données personnelles et par ricochet de vérifier sa mise en conformité au RGPD.

A cet égard, le Cabinet Baldassari vous accompagne dans vos actions de mise en conformité en procédant notamment à des audits des traitement, des études d’impact, l’élaboration d’un registre des traitements, la rédaction de contrats et mentions légales ainsi que pour toutes autres prestations nécessaires à cette mission.

Par Julie Gautier, élève avocate

Sources: