1. Accueil
  2. /
  3. Actualites
  4. /
  5. Droit affaires societes
  6. /
  7. Carrefour France sanctionnée de 2,25 millions d’euros d’amende par la CNIL

BLOG / Droit des affaires et des sociétés

Carrefour France sanctionnée de 2,25 millions d’euros d’amende par la CNIL

 

La CNIL a sanctionné la société Carrefour France, acteur de la grande distribution, d’une amende de 2,25 millions d’euros du fait notamment de manquements au RGPD et à la loi Informatique et Libertés modifiée et de la publication de la décision de sanction non anonymisée pendant 2 ans.

 

Pour en savoir plus :

Suite à la saisine de quinze plaintes de clients entre juin 2018 et avril 2019 à l’encontre de la société Carrefour France, filiale du groupe Carrefour, la CNIL a effectué un contrôle en ligne du site carrefour.fr en mai 2019 suivi de quatre contrôles sur place dans les locaux de la société de mai à juillet 2019 en vue de vérifier le respect des dispositions du droit de la protection des données personnelles. Suite à l’instruction du dossier par la CNIL et des différents échanges écrits entre le rapporteur du dossier et la société entre janvier et septembre 2020 et des observations orales, la formation restreinte de la CNIL (formation de sanction) réunie le 17 septembre 2020 a sanctionné la société Carrefour France au vu notamment des manquements constatés au RGPD. La CNIL a toutefois précisé dans sa délibération du 18 novembre 2020 que la société Carrefour France a démontré s’être mise en conformité sur l’ensemble des manquements constatés par la CNIL lors des contrôles.

Remarques : Cette décision de la CNIL met en exergue l’impact des plaintes sur les contrôles de la CNIL. Dans son dernier rapport d’activité, la CNIL avait en effet précisé que 42 % de ses contrôles réalisés ont pour origine des plaintes reçues (cf. 40ème rapport d’activité CNIL- 2019 p. 81). Par ailleurs, notons que la CNIL a sanctionné le 18 novembre 2020 par une autre délibération (non traitée dans cet article) la société Carrefour Banque (détenue à 60 % par le groupe Carrefour et à 40% par BNP Paribas) d’une amende de 800 000 euros pour notamment des manquements similaires tels que le manquement sur l’information des personnes et celui sur les cookies

 

1- Sur le manquement à l’obligation de limitation de conservation des données personnelles au regard de la finalité

La société Carrefour France conservait les données des clients inactifs (du programme fidélité et du site carrefour.fr) pendant quatre ans et plus et notamment les données de plus de 28 millions de clients membres du programme fidélité inactifs depuis cinq à dix ans au lieu de trois ans à compter de leur dernière activité selon la doctrine de la CNIL. La CNIL a en effet considéré que cette durée de conservation était excessive au regard de la finalité de prospection commerciale constituant ainsi un manquement à l’article 5-1-e) du RGPD.  S’agissant de la durée de conservation des pièces d’identité des clients à l’appui de leur demande d’exercice des droits, la CNIL a précisé que la fourniture de ce document a pour seul objectif pour les clients de justifier de leur identité et que dès lors, la société n’a pas besoin de la conserver une fois l’identité confirmée. Le fait par la société de conserver la pièce d’identité communiquée par les clients pendant 1 à 6 ans dans le cadre de l’exercice des droits a été jugé excessif et constitutif d’un manquement au RGPD.

Remarque : Au vu de la nouvelle doctrine de la CNIL sur la pièce d’identité et le droit d’accès au regard du principe du RGPD de minimisation des données, il appartient aux responsables de traitement de revoir leur process de gestion des droits et de s’interroger notamment sur la preuve en cas de contentieux.

 

 

2- Sur le manquement relatif aux modalités d’exercice des droits des personnes

L’article 12 du RGPD dispose que le responsable de traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer ses droits à moins qu’il démontre qu’il n’est pas en mesure d’identifier la personne concernée et que lorsqu’il a des doutes raisonnables quant à l’identité de la personne, il peut demander des informations supplémentaires pour confirmer l’identité de cette personne. La CNIL a constaté que sauf dans les cas de demandes d’opposition à des fins de prospection commerciale, la société demandait un justificatif d’identité de manière systématique lors de l’exercice d’un droit. Elle a donc considéré que le manquement au RGPD était constitué. La CNIL a également reproché à la société le non-respect du délai de réponse aux demandes d’exercice des droits qui doit être d’un mois alors que les retards de réponse de la société pouvaient atteindre neuf mois.

 

3- Sur le manquement relatif aux droits des personnes, à la sécurité des données 

S’agissant du droit à l’information des personnes, la CNIL a rappelé que la société n’avait pas respecté l’article 12 du RGPD qui précise que le responsable de traitement doit fournir, en l’occurrence à l’utilisateur du site internet, une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. La société Carrefour France, responsable de traitement, avait fait le choix d’une information en plusieurs niveaux comme le lui permet le RGPD. Toutefois, la CNIL a considéré que l’accès aux mentions d’information sur le site carrefour.fr n’était pas aisé car les informations étaient dispersées dans différents documents. Elle préconise que les informations pertinentes soient regroupées dans un document unique distinct des conditions générales d’utilisation. De plus, elle considère que l’information délivrée aux utilisateurs n’était pas rédigée en des termes clairs, simples et était incomplète (notamment sur la base légale applicable aux traitements mis en œuvre, les garanties en cas de transferts de données hors de l’Union européenne, les durées de conservation des données). S’agissant du droit d’accès à ses données, la CNIL a également constaté un manquement de l’article 15 du RGPD car la société n’a pas indiqué l’origine de la collecte de ses données à un ancien client Ooshop (devenu client Carrefour suite à la fusion Ooshop/ Carrefour) qui avait exercé son droit d’accès en vain malgré plusieurs relances et qui l’avait conduit à porter plainte auprès de la CNIL. De même, la CNIL a constaté un manquement de la société Carrefour relatif au droit à l’effacement suite des plaintes. Elle a considéré que, si après une demande d’effacement, certaines données personnelles de clients peuvent être conservées, notamment au titre des obligations légales ou à des fins probatoires ou lorsque la société dispose d’un motif légitime impérieux, les données personnelles non nécessaires doivent être supprimées après l’exercice de ce droit. En cas de demandes d’effacement de clients trop larges, il appartenait à la société de contacter ses clients pour les en informer. S’agissant du droit d’opposition à la prospection commerciale, suite aux plaintes reçues, la CNIL a considéré que la société offrait aux personnes concernées un moyen d’exercer leur droit d’opposition toutefois celui-ci n’était pas systématiquement pris en compte. De plus, la CNIL a considéré que les personnes ne disposant pas d’un compte client n’ont pas pu s’opposer simplement à l’utilisation de leurs données personnelles à des fins de prospection commerciale et qu’un manquement aux dispositions du Code des Postes et des communications électroniques (CPCE) était constitué. Par ailleurs, la CNIL a considéré que la société a manqué à son obligation de sécurité (art.32 du RGPD) car suite à la découverte d’une vulnérabilité technique liée à l’adresse URL, elle n’avait pas mis en place une mesure obligatoire d’authentification préalable. Elle a également estimé que la société avait manqué à son obligation de notification à la CNIL d’une faille de sécurité impactant des données personnelles (art.33 du RGPD) qu’elle avait consignée suite à une attaque informatique malveillante ayant permis l’accès à des comptes de clients. Elle a rappelé que le principe est celui de la notification à la CNIL et que l’absence de notification n’est possible que par exception, lorsque la violation (faille) n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes.

Remarques : - Notons que malgré une divergence d’appréciation, la société a finalement notifié sa violation de données à la CNIL avant la tenue de la séance de la formation de sanction. Ainsi, dans la mesure où le non-respect de l’obligation de notification à la CNIL est sanctionné par le RGPD, il appartient aux responsables de traitement d’établir, dans le cadre d’un process de gestion des violations de données, une analyse des risques (au vu notamment des critères des lignes directrices du CEPD) pour bien déterminer si cette violation est susceptible ou non d’engendrer un risque pour les droits et libertés des personnes. - Par ailleurs, avec cette décision, la CNIL incite les responsables de traitements à revoir leurs mentions d’informations en particulier sur les sites internet et leurs process de gestion des droits des personnes.

 

4- Sur le manquement relatif aux cookies

La CNIL a relevé que la société, éditrice du site carrefour.fr, déposait automatiquement 39 cookies dès la page d’accueil du site et ce, avant toute action de l’utilisateur du site. S’agissant des 3 cookies de Google analytics, la CNIL a indiqué que ces cookies peuvent être recoupés avec des données issues d’autres traitements avec des finalités différentes de celles prévues par l’article 82 de la loi Informatique et Libertés telle que notamment la publicité personnalisée. Dès lors, ces cookies ne sont pas des cookies strictement nécessaires à la fourniture du service et leur dépôt est conditionné au recueil préalable du consentement des utilisateurs du site internet.

Remarques : - Notons que la CNIL a sanctionné le 7 décembre 2020 les sociétés Google LLC et Google Ireland Limited de 100 millions d’euros d’amende et la société Amazon Europe Core de 35 millions d’euros d’amende notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du moteur de recherche ou du site internet sans consentement préalable ni information satisfaisante. - Par ailleurs, les contrôles sur les cookies sont au programme des contrôles de la CNIL 2020/2021 notamment suite à l’adoption de ses lignes directrices modifiées et de sa recommandation du 1er octobre 2020 sur les cookies.

 

5- S’agissant de la sanction 

Nonobstant la coopération de la société et sa mise en conformité suite aux manquements constatés, la CNIL a décidé de prononcer une amende, au vu du nombre et de la gravité des manquements à certaines obligations essentielles (telles que l’information ou le respect des droits des personnes) d’un responsable de traitement. Elle a également relevé des manquements structurels (tels que les délais de réponse anormalement longs aux demandes d’exercice de droits). Elle a noté en outre, le nombre de personnes concernées et les nombreuses plaintes reçues. S’agissant du montant de l’amende, la CNIL a pris en compte le chiffre d’affaires réalisé par l’entreprise au sens d’unité économique c’est à dire la société Carrefour France et les filiales qu’elle détient et qui ont bénéficié des traitements. Elle a donc considéré qu’une amende de 2,25 millions d’euros et de la publication de la sanction (en tant que sanction complémentaire) pour une durée de 2 ans sont justifiées et proportionnées.

 

Délibération CNIL n°SAN-2020-008 du 18 novembre 2020 concernant la société Carrefour France

Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles

Découvrez notre formation sur la gestion des contrôles CNIL