Carrefour écope d’une sanction de 3 millions d’euros

Publié le 28 novembre 2020

La Cnil vient de sanctionner le groupe Carrefour pour des manquements au Règlement sur les données personnelles. Carrefour France écope d’une amende de 2 250 000 € et Carrefour Banque d’une amende de 800 000 €. Les défaillances, selon Carrefour, sont entièrement corrigées.

Des formulations trop compliquées, des informations manquantes, des cookies déposés illégalement sur l’ordinateur des internautes, des données personnelles précieusement conservées alors qu’elles auraient dû être effacées, des refus de publicités par SMS ignorés, des données récoltées sans autorisation… Carrefour a décidément du mal avec la loi en matière de données personnelles ! Entre mai et juillet 2019, suite aux plaintes de plusieurs consommateurs concernant Carrefour France (les enseignes de grande distribution) et Carrefour Banque (secteur bancaire), la Cnil (Commission nationale de l’informatique et des libertés) a entrepris des contrôles sur les pratiques du groupe. Et la liste des manquements constatés est longue. L’information fournie aux utilisateurs des sites Carrefour.fr et Carrefour-banque.fr, ainsi qu’aux personnes désirant adhérer au programme de fidélité ou à la carte Pass, n’était pas facilement accessible (article 13 du RGPD). De plus, lorsqu’un utilisateur se connectait à l’un de ces sites Internet, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Or, pour ceux servant à la publicité, la loi veut que l’internaute donne d’abord son accord (article 82 de la loi Informatique et Libertés).

Les autres griefs concernent la conservation beaucoup trop longue de données concernant d’anciens clients (28 millions de clients de Carrefour et 750 000 utilisateurs du site Carrefour.fr, inactifs depuis 5 à 10 ans, étaient toujours dans la base !) ou la transmission abusive de données d’une filiale à l’autre (article 5 du RGPD).

Le gendarme de la vie privée a donc sanctionné lourdement les deux entités, Carrefour France à hauteur de 2 250 000 euros et Carrefour Banque à hauteur de 800 000 euros. « La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées. Le groupe accusait en effet en 2018 un retard en matière digitale », a concédé Carrefour sur son compte Twitter. La Cnil a pour sa part reconnu la totale coopération du groupe, qui « a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD ». A priori, ces manquements n’ont eu aucune conséquence sur les consommateurs concernés. La vigilance de la Cnil permet régulièrement de mettre de grands distributeurs au pas. Darty, Dailymotion ou Uber en ont déjà fait les frais.