Une amende salée pour le groupe Carrefour en application du RGPD

Publié par le dans | Consulté 308 Fois

Une vision trop souple du règlement général sur la protection des données personnelles (RGPD) par le groupe français Carrefour ? C’est effectivement ce qu’a laissé entendre la Commission nationale de l’informatique et des libertés (CNIL) en prononçant, le 26 novembre 2020, une sévère amende de plus de 3 millions € à l’encontre de la célèbre enseigne de la grande distribution alimentaire (Carrefour France) et de sa filiale bancaire (Carrefour Banque), pour un large éventail de manquements au RGPD.

Qu’est-ce que le RGPD en bref?

Rappelons-le, le RGPD, adopté en 2016 et entré en vigueur au cours de l’année 2018, vient mettre fin au régime des formalités préalables qui exigeait de remplir une multitude de conditions aux fins d’obtenir une autorisation en amont de tout traitement de données personnelles pour finalement basculer aujourd’hui à l’ère de l’accountability, à savoir l’ère de la responsabilisation. L’accountability est donc l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données personnelles dictées par ledit règlement. La notion de données personnelles, qui fait l’objet d’une définition étayée par l’article 4 du RGPD, peut se résumer succinctement comme les informations qu’il est possible de rattacher à une personne précise tels un nom, une adresse postale, une donnée de localisation, des données biométriques etc. Le traitement de données à caractère personnel, quant à lui, désigne brièvement toute opération portant sur des données personnelles, quel que soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, la modification, la consultation, la transmission ou encore l’effacement de données personnelles.

Cette logique de conformité au RGPD et donc d’auto-discipline des entreprises est encore très récente, voire trop, à tel point que sa portée n’est pas totalement intégrée par un grand nombre d’entreprises. Il peut même parfois arriver que certaines d’entre elles suivent les bonnes procédures dans l’optique de donner un semblant de conformité tandis que derrière la protection des données personnelles n’est pas assurée. Le cas du groupe Carrefour démontre une nouvelle fois que le non-respect du RGPD peut provoquer de lourdes sanctions, celles-ci pouvant toutefois s’avérer efficientes, le groupe ayant rapidement procédé à la mise en conformité de tous ses manquements.

Quels sont les manquements au RGDP retenus à l’encontre du groupe Carrefour?

C’est à la suite d’innombrables plaintes à l’encontre du groupe Carrefour que le gendarme français des données personnelles a entrepris l’initiative d’effectuer des contrôles, à la suite desquels elle a relevé « des manquements concernant le traitement des données des clients et des utilisateurs potentiels » de la part de Carrefour France et Carrefour Banque. Face à une telle constatation, une procédure de sanction a été engagée, celle-ci ayant effectivement abouti aux mêmes observations et en conséquence infligé une amende pour le moins élevée.

Dans ses délibérations, la CNIL a dégagé toute une série de fautes, à commencer par plusieurs manquements à l’obligation d’informer les personnes (Art. 13 RGPD). En effet, les sites Carrefour France et Carrefour Banque fournissaient aux utilisateurs, ainsi qu’aux clients potentiels souhaitant souscrire aux avantages et offres proposés, une information difficilement accessible, l’accès étant compliqué et les documents volumineux, et difficilement compréhensible, les termes étant généraux, imprécis, voire même compliqués et inutiles. Ces derniers étaient également mal informés concernant la durée de conservation et le traitement de leurs données personnelles ou encore s’agissant du transfert de ces fichiers hors de l’Union Européenne.

D’ailleurs, s’agissant de la conservation des données (Art. 5.1.e RGPD), alors que Carrefour France s’était fixé une durée de conservation de quatre ans après le dernier achat, il s’est avéré qu’il conservait finalement les données d’un grand nombre de clients inactifs depuis cinq à dix ans dans le cadre du programme de fidélité. Dès lors, après avoir constaté la violation de l’obligation d’une durée de conservation limitée des données, la Commission a souligné que même cette durée de quatre ans apparaissait excessive dans le domaine de la grande distribution où les clients procèdent habituellement à des achats réguliers.

Au-delà de ces manquements, l’autorité administrative relève que le groupe a méprisé la réglementation en matière de cookies (Art. 82 loi informatique et libertés). C’est dire que la simple connexion au site Carrefour France ou Carrefour Banque engendrait le dépôt automatique de cookies, notamment publicitaires, sur le terminal de l’utilisateur sans aucune action de se part. Quid du consentement de l’utilisateur qui devrait toujours pouvoir être libre d’accepter ou de refuser le dépôt de cookies ?

En outre, la CNIL a noté la violation par Carrefour France du principe de transparence et plus précisément le fait qu’elle n’ait pas facilité l’exercice des droits des personnes (Art. 12 RGPD). Elle a en effet estimé que la pratique qui consistait à réclamer systématiquement un justificatif d’identité pour chaque demande d’exercice de droit ne pouvait se justifier « dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits » et a en outre observé que les délais exigés par le RGPD dans le cadre du traitement de ces demandes n’étaient pas respectés.

Le groupe français de la grande distribution a également négligé de respecter certains droits majeurs conférés aux personnes faisant l’objet d’un traitement de leurs données personnelles. En premier lieu, malgré l’existence d’un droit pour ces personnes d’avoir accès à leurs données personnelles et à toute une série d’informations ayant trait à celles-ci (Art. 15 RGPD), la société n’a effectivement pas donné suite à plusieurs demandes de ce type qui ont été formulées. En deuxième lieu, la Commission note la violation par ladite société du droit à l’oubli (Art. 17 RGPD) en ne procédant pas à l’effacement de données personnelles pourtant réclamé par plusieurs personnes. En dernier lieu, la CNIL indique qu’a été méconnu le droit d’opposition (Art. 21 RGPD), celui-ci donnant de manière générale la possibilité aux personnes faisant l’objet d’un traitement de leurs données personnelles de s’y opposer. L’entreprise a en effet ignoré, notamment pour des raisons techniques, la demande de certains clients indiquant leur désaccord à recevoir de la publicité par voie de correspondance privée, en l’espèce par SMS ou courrier électronique.

Enfin, l’autorité constate un manquement à l’obligation de traiter les données personnelles de manière licite, loyale et transparente au regard de la personne concernée par ce traitement (Art. 5 RGPD). En effet, il était prévu que, lorsqu’une personne souscrivait auprès de Carrefour Banque et souhaitait à la fois bénéficiait du programme de fidélité rattaché à Carrefour France, certaines de ses données personnelles, dont la liste est arrêtée et sous condition de son accord, soient communiquées à Carrefour fidélité. Néanmoins, il est apparu que bien d’autres données personnelles ont été transférées tels l’adresse postale, le numéro de téléphone ou encore le nombre d’enfants.

Des manquements corrigés

Cette affaire met en évidence l’efficacité de la procédure de sanction engagée par la CNIL. En effet, bien que l’amende écopée soit inévitable car les infractions ont été constatées, le groupe Carrefour a procédé, au moment même de la procédure et dans un souci que l’on peut penser de réputation, à la mise en conformité de l’ensemble de ses manquements au RGPD. La société Carrefour France a même pris soin de réagir sur le réseau social Twitter au sein duquel elle assure que « La décision de la CNIL concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées. ». Cette dernière a en outre ajouté que « Le Groupe accusait en effet en 2018 un retard en matière digitale qui avait été diagnostiqué lors du lancement du plan Carrefour 2022. » et a fini par préciser dans un second tweet qu’« aucune donnée sensible n’était concernée » et surtout que « le groupe n’en a retiré aucun avantage financier ».

Sources :

  • PARLEMENT EUROPÉEN ET LE CONSEIL, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018
  • FORMATION RESTREINTE DE LA CNIL, Délibération n°SAN-2020-008 concernant la société CARREFOUR FRANCE, 18 novembre 2020
  • FORMATION RESTREINTE DE LA CNIL, Délibération n°SAN-2020-009 concernant la société CARREFOUR BANQUE, 18 novembre 2020
  • CNIL, définition accountability, CNIL, https://www.cnil.fr/professionnel
  • Art. 4 RGPD, définitions données personnelles et traitement
  • Arts. 5, 12, 13, 15, 17, 21 RGPD
  • Art. 82 loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi informatique et libertés)
  • CNIL, « Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE », CNIL, https://www.cnil.fr/professionnel, 26 novembre 2020
  • VITARD (A.), « Le groupe Carrefour écope d’une amende de plus de 3 millions d’euros pour violation du RGPD », Usine Digitale, https://www.usine-digitale.fr/, 26 novembre 2020
  • BECHADE (C.), « RGPD : 3 millions d’euros d’amende et une pluie de reproches pour Carrefour », Les Numériques, https://www.lesnumeriques.com/, 26 novembre 2020
  • NETTER (E.), Cours de « Protection des données personnelles », 2020/2021, Université Aix-Marseille