RGPD : les sociétés Carrefour France et Carrefour Banque sanctionnées à 3 millions d’euros d’amende par la CNIL

Par Betty Sfez  | 08/12/20

Suite à la réception de plusieurs plaintes, la Commission Nationale de l’Informatique et des Libertés (CNIL) a effectué des contrôles auprès des sociétés Carrefour France et Carrefour Banque. Ces opérations de vérification ont permis aux agents de la Commission de relever de nombreux manquements au RGPD. C’est ainsi que des amendes à hauteur de 2 250 000 euros et 800 000 euros ont été prononcées à l’encontre de ces sociétés. De surcroit, la CNIL a décidé de rendre publique ces sanctions.

  1. L’historique de la procédure

L’étude des délibérations de la CNIL révèle que cette dernière a été saisie de 15 plaintes en moins d’1 an à l’encontre du groupe Carrefour. La Commission a donc décidé, courant avril et juin 2019, de lancer plusieurs missions de vérification. C’est ainsi que 7 contrôles ont été diligentés en moins 2 mois par les agents de la CNIL, dont 2 contrôles portant sur les sites Carrefour.fr et Carrefour-banque.fr et 5 contrôles dans les locaux des sociétés concernées.

Plusieurs échanges ont ensuite eu lieu entre la délégation de contrôle et les sociétés Carrefour. Puis, des observations ont été communiquées entre ces mêmes sociétés et le rapporteur désigné par la CNIL. Du fait des nombreuses demandes de délais supplémentaires, sans doute dues à la crise sanitaire, plus d’une année s’est écoulée entre la fin des contrôles (mi-juillet 2019) et la séance de la formation restreinte de la CNIL (septembre 2020), venant examiner les observations des parties.

Cette séance, qui s’est tenue à huis clos à la demande des sociétés Carrefour car des éléments versés aux débats étaient protégés par le secret des affaires, a débouché sur le constat de 5 principaux manquements au RGPD.

2. Les manquements à la règlementation

  • La durée de conservation des données

Les sociétés Carrefour ont réalisé un travail de mise en conformité au RGPD consistant à définir les durées de conservation de leurs données. Toutefois, l’examen de ces durées par la CNIL a révélé qu’elles étaient mal déterminées. Par exemple, la conservation de données durant 4 ans après le dernier achat du client ou jusqu’à 6 ans pour les pièces d’identité dans le cadre de l’exercice d’un droit, est jugée excessive.

De plus, et en dépit du travail réalisé par les sociétés Carrefour, les données clients étaient en pratique conservées bien au-delà des périodes pourtant fixées. A titre d’exemple, les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans n’avaient pas été purgées.

  • L’information des personnes concernées

Les mentions d’information RGPD présentes sur les sites web des sociétés Carrefour ont été jugées difficilement accessibles, imprécises et incomplètes.

La CNIL reproche tout particulièrement aux sociétés Carrefour d’avoir opté pour une information à plusieurs niveaux, non hiérarchisée ni ordonnée, ayant pour conséquences la redondance des mentions RGPD, ainsi que leur dispersion et morcellement à travers de nombreux documents, liens hypertextes et pages des sites web.

De ce fait, l’internaute ou l’utilisateur des services en ligne Carrefour est perdu dans sa navigation et noyé dans des documents trop longs (ex. CGV-CGU) comportant des formulations ambiguës et inutilement compliquées (ex. « notamment », « sont susceptibles », et « dans certains cas »).

  • Les demandes d’exercice des droits

Les sociétés Carrefour réclamaient systématiquement l’obtention d’un justificatif d’identité pour les demandes d’exercice de droit. Or, cette exigence est injustifiée selon la CNIL, car disproportionnée.

Par ailleurs, les opérations de contrôle ont révélé que certaines demandes reçues par ces sociétés n’avaient jamais été traitées ou alors avaient été gérées dans des délais excédant ceux requis par la règlementation.

  • La loyauté du traitement des données

Lorsqu’un souscripteur d’une carte de paiement (carte Pass) souhaitait adhérer au programme de fidélité Carrefour, le formulaire du site Carrefour-banque.fr précisait que seules quelques données personnelles seraient communiquées à Carrefour France. Or, les opérations de contrôle ont révélé que la société Carrefour Banque transmettait à Carrefour France plus de données personnelles sur les clients concernés que celles pourtant indiquées.

  • La gestion des cookies

Lors des contrôles, les agents de la CNIL ont constaté le dépôt automatique de 44 cookies lors de l’arrivée des internautes sur les pages d’accueil des sites Carrefour.fr et Carrefour-Banque.fr. Or, le recueil préalable du consentement de l’internaute est obligatoire pour ces cookies d’après la Commission.

3. La sévérité des sanctions

Au cours des débats, les sociétés Carrefour ont réclamé la réduction du montant jugé « excessif » des amendes proposées lors de l’examen du dossier. En effet, ces sociétés mettaient en avant « l’absence de gravité » des manquements au RGPD et l’importance du travail de mise en conformité réalisé depuis le début de la procédure de sanction.

En réponse, la CNIL a souligné :

  • la parfaite coopération des sociétés Carrefour pendant toute la procédure ;
  • les efforts importants tant organisationnels que financiers de mise en conformité réalisés. En effet, les sociétés Carrefour avaient atteint une conformité totale au jour de la séance  ;
  • le caractère résiduel ou ponctuel de certains manquements ou incidents (ex. sur le non-respect des droits à l’effacement et à l’opposition à la prospection) ;
  • l’absence de données sensibles concernées par les manquements des sociétés Carrefour.

Toutefois, le prononcé de telles sanctions s’avère nécessaire selon la Commission du fait :

  • de la nature essentielle des obligations non respectées (ex. la loyauté, l’information et le respect des droits) ;
  • de la nature structurelle de certains manquements (ex. manque de moyens pour la gestion des demandes d’exercice des droits ou retard important dans la purge des données) ;
  • du nombre important de personnes concernées par les manquements (plusieurs 10zaine de millions de clients et internautes) ;
  • du nombre important de plaintes, à l’origine des contrôles CNIL.

Enfin, au vu de la capacité financière des sociétés Carrefour, la CNIL a considéré que des amendes à hauteur de 2 250 000 euros et 800 000 euros étaient « effectives, proportionnées et dissuasives ».

A ce titre, il est intéressant de souligner que pour le calcul de l’assiette de l’amende de la société Carrefour France, la Commission s’est basée, d’une part, sur le chiffre d’affaires global de la société et de ses filiales (au vu de l’organisation juridique du groupe), et d’autre part, sur la spécificité du modèle économique du secteur de la grande distribution (impliquant un CA très élevé au regard des résultats nets engagés par l’activité).

Quant à la sanction de Carrefour Banque, une amende représentant 0,25% du produit net bancaire de la société est jugée parfaitement justifiée par la Commission.

4. Nos recommandations

A la lumière de ces délibérations riches en enseignements, la Commission se montre intransigeante face à des manquements qui résultent « de négligences, d’erreurs ponctuelles ou d’un manque d’anticipation ».

Nous recommandons donc aux Responsables de Traitement de s’assurer que la conformité de leurs traitements au RGPD soit réellement effective et qu’ainsi, en pratique, les procédures internes aient été déployées. A titre d’exemple, savez-vous à quelle date a été réalisée la dernière purge des données personnelles de vos clients ?

De même, nous recommandons aux Responsables de Traitement de mener une analyse critique des mentions d’information formulées dans les politiques de confidentialité intégrées à leurs sites internet. Sont-elles facilement accessibles et compréhensibles (ex. vocabulaire simple, phrases courtes, style direct et insertion de tableaux détaillant les finalités et les bases légales) ?

Aujourd’hui, faire preuve de transparence vis-à-vis de ses clients et utilisateurs est plus que jamais de rigueur pour les Responsables de Traitement.

L’équipe RGPD du cabinet d’avocats Solegal, dirigée par Maître Betty Sfez, reste à votre disposition pour toute question.

Solegal AARPI – Décembre 2020

Betty SFEZ – Avocat associé

Cet article est mis en ligne à des fins d’information uniquement. Compte tenu de l’évolution constante de la réglementation pouvant avoir un impact sur la pertinence de son contenu, nous vous invitons à prendre contact avec le cabinet pour toute question. D’une manière générale, le cabinet ne pourra en aucun cas être tenu responsable de l’inexactitude et de l’obsolescence des articles figurant sur le site www.solegal.fr

A lire également