Sanctions CNIL : 3 millions d'euros d'amende pour le Groupe Carrefour
Si certains avaient encore des doutes sur les risques financiers auxquels les expose un manquement au RGPD et à la Loi Informatique et Libertés, la CNIL vient d’établir clairement ses exigences en la matière, faute de quoi, des amendes à 7 chiffres peuvent pleuvoir.
En effet, elle vient de sanctionner avec fermeté les sociétés Carrefour France et Carrefour Banque, à hauteur de 2 250 000 d’euros et 800 000 euros.
Les faits reprochés sont une synthèse de mauvaises pratiques :
- Des sites web aux mentions d’information longues et compliquées ;
- Des cookies publicitaires déposés automatiquement sur les terminaux des visiteurs de leurs sites web ;
- Des durées de conservation annoncées mais pas respectées, couplées à des données obsolètes conservées pendant plus de 5 ans ;
- Des difficultés d’exercice des droits liées à l’exigence injustifiée et constante d’une pièce d’identité ;
- Des droits bafoués avec des données non supprimées malgré les demandes ;
- Des catégories de données collectées sans en informer les personnes concernées.
Ce que l’on en retient ?
La CNIL semble avoir pris le groupe Carrefour pour exemple afin d’établir une feuille de route des mauvaises pratiques. Les organismes traitant des données personnelles sont invités à prendre au sérieux les exigences du RGPD et à adopter un comportement transparent et loyal à l’égard de leurs clients et prospects, sous peine de s’exposer à des amendes records.
Ces décisions invitent les organismes à repenser leur organisation et à rationaliser leur traitement des données personnelles, ainsi qu’à simplifier le vocabulaire juridique qu’ils utilisent pour garantir une information claire, concise et lisible.
Revenons en détails sur les faits reprochés aux sociétés Carrefour France (grande distribution) et Carrefour banque (secteur bancaire).
Faits et Procédure
Tout d’abord, pourquoi les sociétés Carrefour France et Carrefour Banque ont été contrôlées et donc sanctionnées par la CNIL ?
Tout simplement parce que la CNIL a été saisie de pas moins de 15 plaintes à leur encontre.
Ces plaintes concernaient la collecte de données personnelles via les sites www.carrefour.fr et www.carrefour-banque.fr ainsi que via l’adhésion au programme de fidélité et à la carte Pass du Groupe Carrefour.
La CNIL a alors effectué des contrôles en ligne et des contrôles sur place, entre mai et juillet 2019.
Solution
1. La fin des formules illisibles
L’information fournie n’était ni facilement accessible (i) ni facilement compréhensible (iii) et elle était incomplète/insuffisante s’agissant des durées de conservation, des transferts de données hors UE et de la base légale de traitement (iii).
La CNIL souligne le fait que les mentions d’information étaient trop longues, rédigées dans des termes généraux et imprécis et avec des formules inutilement compliquées.
Cette décision est donc dans la lignée de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google en janvier 2019.
2. Un rappel classique de l’obligation d’obtenir l’acceptation préalable au dépôt de cookies publicitaires
Des cookies étaient automatiquement déposés sur le terminal des internautes visitant les sites www.carrefour.fr et www.carrefour-banque.fr. Pourtant, le consentement est obligatoire dès lors qu’il ne s’agit pas de cookies purement techniques et nécessaires au bon fonctionnement du site internet. En ce sens, la CNIL semble considérer que les cookies Google Analytics ne peuvent jamais s’apparenter à des cookies nécessaires et que l’internaute doit donc avoir la capacité de les accepter ou de les refuser.
Les entreprises sont donc invitées à revoir au plus tôt leur gestion des cookies à la lumière des dernières recommandations de la CNIL (voir notre article sur le sujet) ; si elles ne souhaitent pas elles aussi être sanctionnées pour dépôt de cookies sans consentement préalable.
3. Fixer des durées c’est bien, s’y tenir c’est mieux !
Si les entreprises sont parfois invitées à arbitrer elles-mêmes les durées de conservation à mettre en place (notamment en l’absence d’une durée de conservation légale) ; encore faut-il le faire de manière pragmatique et opérationnelle.
La question à se poser est alors la suivante : pendant combien de temps ai-je réellement besoin de ces données au regard de mon utilisation ? Est-ce raisonnable au regard du risque que cela représente en matière de protection des données ?
En ce sens, la CNIL a considéré que la durée de conservation de 4 ans des données clients après leur dernier achat telle qu’établie par Carrefour était une durée excessive.
Les entreprises doivent donc mettre à jour leur durée de conservation à la lumière de cette information.
En outre, Carrefour ne respectait pas les durées qu’elle avait elle-même fixées. La CNIL a notamment constaté que les données de plus de 28 millions d’utilisateurs inactifs depuis 5 à 10 ans étaient toujours conservées.
Enfin, dans le cadre de l’exercice de droits, la CNIL a constaté que Carrefour conservait pendant 1 à 6 ans les justificatifs d’identité. Or, l’autorité de contrôle considère que rien ne justifie la conservation des pièces d’identité dès lors que la demande a été traitée.
Qu’en est-il de l’archivage intermédiaire à des fins contentieuses ? Dans le cadre de l’exercice des droits, la CNIL considère qu’il est pertinent de conserver simplement le courrier de réponse favorable, car ce courrier présente moins de risque pour la personne concernée que la conservation de son justificatif d’identité.
Ainsi, si vous annoncez une durée de conservation, assurez-vous de vous y tenir en pratique et que cette durée soit bien justifiée au regard de la finalité du traitement !
4. Un rappel de l’obligation de faciliter l’exercice des droits
Comme en matière de cookies, la CNIL a rappelé qu’il doit être aussi facile de consentir au traitement de ses données que de le refuser.
Or, dans le cadre de Carrefour, toute demande d’exercice des droits (sauf pour l’opposition à une prospection commerciale) était soumise à la communication d’une pièce d’identité alors même que ce n’était pas nécessaire.
Il faut donc élargir les moyens de vérification de l’identité de la personne concernée en acceptant par exemple tout moyen permettant de justifier de son identité, autrement que sa pièce d’identité. Par exemple : une double authentification via un envoi de SMS + email.
De plus, Carrefour ne respectait pas le délai d’1 mois pour répondre aux demandes d’exercices de droits. Il est donc recommandé de repenser son organisation et d’allouer les moyens humains et financiers permettant de répondre dans les temps aux demandes d’exercice de droits et ainsi garantir l’effectivité des droits.
5. Un rappel de l’obligation de garantir l’effectivité des droits
Le renforcement des droits des personnes dont les données sont traitées est une des grandes nouveautés du RGPD et la CNIL n’a pas manqué de le souligner lors de ses décisions contre le Groupe Carrefour.
Notamment, il était reproché à Carrefour de ne pas avoir répondu à des demandes de personnes souhaitant accéder à leurs données (droit d’accès) ; de ne pas avoir procédé à l’effacement de données malgré des demandes (droit à l’effacement) ou encore de ne pas avoir pris en compte les demandes d’opposition à l’envoi de SMS ou courrier électronique (droit d’opposition). En effet, des internautes ayant exprimé leur opposition à la prospection commerciale avaient vu leur demande ignorée.
A cette occasion, la CNIL a considéré que la société Carrefour aurait dû traiter les différentes demandes au jour le jour, afin d’être sure qu’aucune ne soit oubliée.
6. Absence de collecte loyale des données en cas d’imprécision
Dans le cadre de sa décision contre Carrefour Banque, la CNIL a souligné que celle-ci avait manqué de loyauté envers ses clients car elle ne les avait pas clairement informés du partage des données avec l’entité Carrefour France. De plus, lors de la souscription à la carte Pass, Carrefour Banque indiquait ne collecter que les données relatives au nom, prénom et email alors qu’en réalité elle collectait également les adresses postales, numéro de téléphone et nombre d’enfants des personnes ayant souscrits.
Il faut donc être précis lorsque l’on indique les catégories de données collectées et ne pas se contenter de formules générales.
La CNIL n’a pas assorti ses sanctions d’une injonction car elle a constaté que depuis les contrôles, les sociétés Carrefour avaient fourni des efforts importants pour se mettre en conformité sur tous les manquements constatés. Elles ont notamment mis à jour les fonctionnalités de leurs sites web, refondu leurs parcours de souscription, et précisé leurs mentions d’information.
Nous retenons que cette décision est dans la continuité de la célèbre sanction Google où la CNIL avait souligné la complexité d’accès à l’information dans le parcours client.
Sources :
