01-12-2020, 07:37
Le groupe Carrefour vient de se voir attribuer par la CNIL deux amendes d'un montant total équivalant trois millions d'euros. La première concerne Carrefour France pour 2,25 millions d'euros, la seconde Carrefour Banque pour 800 000 euros. Ces amendes sanctionnent une série importante de manquements qui ont tous été corrigés par Carrefour au fil de la procédure menée par l'autorité administrative indépendante depuis plus d'un an. Mais ces corrections n'ont pas été suffisantes pour échapper aux sanctions. La procédure a été initiée suite à une série de plaintes de certains clients.
Pour commencer, même si les recommandations de la CNIL sur les cookies n'ont été publiées que récemment pour aider les éditeurs de sites web dans la manière d'appliquer concrètement les textes, les obligations existent bel et bien depuis la mise en œuvre du RGPD, en mai 2018. Or les sites du groupe Carrefour plaçaient des cookies sur les postes des internautes avant que ceux-ci ne l'aient accepté, cela sans aucune obligation technique et à des fins purement publicitaires.
Un autre type de fautes commis par le groupe de distribution : les manquements dans l'information des utilisateurs au sujet des collectes et transferts de données. Lorsqu'un consommateur disposant d'une carte de crédit activait la fonction carte de fidélité, un transfert était réalisé entre Carrefour Banque et Carrefour France, mais plus important qu'annoncé. De la même façon, l'information sur les données collectées et les modalités de conservation, était particulièrement difficile d'accès.
La conservation des données a également été jugée trop longue par la CNIL. Les données de clients inactifs étaient en effet gardées jusqu'à dix ans. Rappelons que la CNIL sanctionne régulièrement les conservations abusives de données personnelles. Le groupe prévoyait d'ailleurs une durée de quatre ans dans ses documents d'information mais même cette durée est jugée excessive par la CNIL. Enfin, Carrefour n'a pas donné suite à des demandes d'accès aux données personnelles, des demandes d'accès aux données personnelles, des demandes d'effacement ou de désinscription. L'exercice des droits des consommateurs en était donc troublé.
Pour commencer, même si les recommandations de la CNIL sur les cookies n'ont été publiées que récemment pour aider les éditeurs de sites web dans la manière d'appliquer concrètement les textes, les obligations existent bel et bien depuis la mise en œuvre du RGPD, en mai 2018. Or les sites du groupe Carrefour plaçaient des cookies sur les postes des internautes avant que ceux-ci ne l'aient accepté, cela sans aucune obligation technique et à des fins purement publicitaires.
Un autre type de fautes commis par le groupe de distribution : les manquements dans l'information des utilisateurs au sujet des collectes et transferts de données. Lorsqu'un consommateur disposant d'une carte de crédit activait la fonction carte de fidélité, un transfert était réalisé entre Carrefour Banque et Carrefour France, mais plus important qu'annoncé. De la même façon, l'information sur les données collectées et les modalités de conservation, était particulièrement difficile d'accès.
La conservation des données a également été jugée trop longue par la CNIL. Les données de clients inactifs étaient en effet gardées jusqu'à dix ans. Rappelons que la CNIL sanctionne régulièrement les conservations abusives de données personnelles. Le groupe prévoyait d'ailleurs une durée de quatre ans dans ses documents d'information mais même cette durée est jugée excessive par la CNIL. Enfin, Carrefour n'a pas donné suite à des demandes d'accès aux données personnelles, des demandes d'accès aux données personnelles, des demandes d'effacement ou de désinscription. L'exercice des droits des consommateurs en était donc troublé.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)