Suite à de nombreuses plaintes visant le Groupe Carrefour, la CNIL a contrôlé en 2019 deux sociétés du Groupe (Carrefour France, dans le secteur de la grande distribution et Carrefour Banque).
Lors de ces contrôles, la CNIL a notamment constaté les manquements au RGPD suivants :
- Manquement à l’obligation d’informer les personnes : l’information délivrée est incomplète et peu accessible, notamment en raison de la multiplicité des pages à consulter et du fait qu’elle n’était pas rédigée en termes simples. En outre, la CNIL considère que l’information des clients du programme fidélité n’est pas suffisamment accessible car elle doit être isolée des CGU.
- Manquements relatifs aux cookies : des cookies de publicité étaient déposés avant même le recueil du consentement.
- Manquement à l’obligation de limiter la durée de conservation des données : la société conservait notamment les données des clients du programme fidélité en base active pour une durée excessive de 4 ans à compter du dernier contact.
- Manquement à l’obligation de faciliter l’exercice des droits : la société Carrefour France exigeait systématiquement une pièce d’identité pour répondre à toutes les demandes de droit. La société conservait ensuite les pièces d’identité entre 1 et 6 ans. La CNIL considère que les pièces d’identité doivent être supprimées dès qu’il est fait droit à la demande, ce qui soulève des questions légitimes de preuve pour les entreprises.
- Manquement au respect des droits : le délai de réponse à ces demandes pouvait atteindre 9 mois et plusieurs demandes restées sans réponse ont fait l’objet de plaintes à la CNIL.
- Manquement à l’obligation de traiter les données de manière loyale : les données collectées par Carrefour Banque pour la souscription à la carte PASS étaient transmises à Carrefour France sans information aux personnes.
- Absence de déclaration d’une violation de données
Sur la base des manquements constatés, la CNIL a décidé de sanctionner les sociétés du Groupe Carrefour à hauteur de 2 250 000€ et la société Carrefour Banque à hauteur de 800 000€.
Aucune injonction n’a été prononcée à l’encontre des sociétés. La CNIL a en effet constaté qu’au cours de la procédure de sanction, Carrefour a déployé les moyens nécessaires à la mise en conformité de tous les manquements relevés.