Si certains avaient encore des doutes sur les risques financiers auxquels les expose un manquement au RGPD et à la Loi Informatique et Libertés, la CNIL vient d’établir clairement ses exigences en la matière, faute de quoi, des amendes à 7 chiffres peuvent pleuvoir.

En effet, elle vient de sanctionner avec fermeté les sociétés Carrefour France et Carrefour Banque, à hauteur de 2 250 000 d’euros et 800 000 euros.

Les faits reprochés sont une synthèse de mauvaises pratiques :

- Des sites web aux mentions d’information longues et compliquées ;

- Des cookies publicitaires déposés automatiquement sur les terminaux des visiteurs de leurs sites web ;

- Des durées de conservation annoncées mais pas respectées, couplées à des données obsolètes conservées pendant plus de 5 ans ;

- Des difficultés d’exercice des droits liées à l’exigence injustifiée et constante d’une pièce d’identité ;

- Des droits bafoués avec des données non supprimées malgré les demandes ;

- Des catégories de données collectées sans en informer les personnes concernées.

Ce que l’on en retient ?

La CNIL semble avoir pris le groupe Carrefour pour exemple afin d’établir une feuille de route des mauvaises pratiques. Les organismes traitant des données personnelles sont invités à prendre au sérieux les exigences du RGPD et à adopter un comportement transparent et loyal à l’égard de leurs clients et prospects, sous peine de s’exposer à des amendes records.   

Ces décisions invitent les organismes à repenser leur organisation et à rationaliser leur traitement des données personnelles, ainsi qu’à simplifier le vocabulaire juridique qu’ils utilisent pour garantir une information claire, concise et lisible.

Revenons en détails sur les faits reprochés aux sociétés Carrefour France (grande distribution) et Carrefour banque (secteur bancaire).

Faits et Procédure

Tout d’abord, pourquoi les sociétés Carrefour France et Carrefour Banque ont été contrôlées et donc sanctionnées par la CNIL ?

Tout simplement parce que la CNIL a été saisie de pas moins de 15 plaintes à leur encontre.

Ces plaintes concernaient la collecte de données personnelles via les sites www.carrefour.fr et www.carrefour-banque.fr ainsi que via l’adhésion au programme de fidélité et à la carte Pass du Groupe Carrefour.

La CNIL a alors effectué des contrôles en ligne et des contrôles sur place, entre mai et juillet 2019.

Solution

1. La fin des formules illisibles

L’information fournie n’était ni facilement accessible (i) ni facilement compréhensible (iii) et elle était incomplète/insuffisante s’agissant des durées de conservation, des transferts de données hors UE et de la base légale de traitement (iii).

La CNIL souligne le fait que les mentions d’information étaient trop longues, rédigées dans des termes généraux et imprécis et avec des formules inutilement compliquées.

Cette décision est donc dans la lignée de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google en janvier 2019.

2. Un rappel classique de l’obligation d’obtenir l’acceptation préalable au dépôt de cookies publicitaires

Des cookies étaient automatiquement déposés sur le terminal des internautes visitant les sites www.carrefour.fr et www.carrefour-banque.fr. Pourtant, le consentement est obligatoire dès lors qu’il ne s’agit pas de cookies purement techniques et nécessaires au bon fonctionnement du site internet. En ce sens, la CNIL semble considérer que les cookies Google Analytics ne peuvent jamais s’apparenter à des cookies nécessaires et que l’internaute doit donc avoir la capacité de les accepter ou de les refuser.

Les entreprises sont donc invitées à revoir au plus tôt leur gestion des cookies à la lumière des dernières recommandations de la CNIL (voir notre article sur le sujet) ; si elles ne souhaitent pas elles aussi être sanctionnées pour dépôt de cookies sans consentement préalable.

3. Fixer des durées c’est bien, s’y tenir c’est mieux !

Si les entreprises sont parfois invitées à arbitrer elles-mêmes les durées de conservation à mettre en place (notamment en l’absence d’une durée de conservation légale) ; encore faut-il le faire de manière pragmatique et opérationnelle.

La question à se poser est alors la suivante : pendant combien de temps ai-je réellement besoin de ces données au regard de mon utilisation ? Est-ce raisonnable au regard du risque que cela représente en matière de protection des données ?

 En ce sens, la CNIL a considéré que la durée de conservation de 4 ans des données clients après leur dernier achat telle qu’établie par Carrefour était une durée excessive.

Les entreprises doivent donc mettre à jour leur durée de conservation à la lumière de cette information.

En outre, Carrefour ne respectait pas les durées qu’elle avait elle-même fixées. La CNIL a notamment constaté que les données de plus de 28 millions d’utilisateurs inactifs depuis 5 à 10 ans étaient toujours conservées.

Enfin, dans le cadre de l’exercice de droits, la CNIL a constaté que Carrefour conservait pendant 1 à 6 ans les justificatifs d’identité. Or, l’autorité de contrôle considère que rien ne justifie la conservation des pièces d’identité dès lors que la demande a été traitée.

Qu’en est-il de l’archivage intermédiaire à des fins contentieuses ? Dans le cadre de l’exercice des droits, la CNIL considère qu’il est pertinent de conserver simplement le courrier de réponse favorable, car ce courrier présente moins de risque pour la personne concernée que la conservation de son justificatif d’identité.

Ainsi, si vous annoncez une durée de conservation, assurez-vous de vous y tenir en pratique et que cette durée soit bien justifiée au regard de la finalité du traitement !

4. Un rappel de l’obligation de faciliter l’exercice des droits

Comme en matière de cookies, la CNIL a rappelé qu’il doit être aussi facile de consentir au traitement de ses données que de le refuser.

Or, dans le cadre de Carrefour, toute demande d’exercice des droits (sauf pour l’opposition à une prospection commerciale) était soumise à la communication d’une pièce d’identité alors même que ce n’était pas nécessaire.

Il faut donc élargir les moyens de vérification de l’identité de la personne concernée en acceptant par exemple tout moyen permettant de justifier de son identité, autrement que sa pièce d’identité. Par exemple : une double authentification via un envoi de SMS + email.

De plus, Carrefour ne respectait pas le délai d’1 mois pour répondre aux demandes d’exercices de droits. Il est donc recommandé de repenser son organisation et d’allouer les moyens humains et financiers permettant de répondre dans les temps aux demandes d’exercice de droits et ainsi garantir l’effectivité des droits.

5. Un rappel de l’obligation de garantir l’effectivité des droits            

Le renforcement des droits des personnes dont les données sont traitées est une des grandes nouveautés du RGPD et la CNIL n’a pas manqué de le souligner lors de ses décisions contre le Groupe Carrefour.

Notamment, il était reproché à Carrefour de ne pas avoir répondu à des demandes de personnes souhaitant accéder à leurs données (droit d’accès) ; de ne pas avoir procédé à l’effacement de données malgré des demandes (droit à l’effacement) ou encore de ne pas avoir pris en compte les demandes d’opposition à l’envoi de SMS ou courrier électronique (droit d’opposition). En effet, des internautes ayant exprimé leur opposition à la prospection commerciale avaient vu leur demande ignorée.

A cette occasion, la CNIL a considéré que la société Carrefour aurait dû traiter les différentes demandes au jour le jour, afin d’être sure qu’aucune ne soit oubliée.

6. Absence de collecte loyale des données en cas d’imprécision         

Dans le cadre de sa décision contre Carrefour Banque, la CNIL a souligné que celle-ci avait manqué de loyauté envers ses clients car elle ne les avait pas clairement informés du partage des données avec l’entité Carrefour France. De plus, lors de la souscription à la carte Pass, Carrefour Banque indiquait ne collecter que les données relatives au nom, prénom et email alors qu’en réalité elle collectait également les adresses postales, numéro de téléphone et nombre d’enfants des personnes ayant souscrits.

Il faut donc être précis lorsque l’on indique les catégories de données collectées et ne pas se contenter de formules générales.

La CNIL n’a pas assorti ses sanctions d’une injonction car elle a constaté que depuis les contrôles, les sociétés Carrefour avaient fourni des efforts importants pour se mettre en conformité sur tous les manquements constatés. Elles ont notamment mis à jour les fonctionnalités de leurs sites web, refondu leurs parcours de souscription, et précisé leurs mentions d’information.

Nous retenons que cette décision est dans la continuité de la célèbre sanction Google où la CNIL avait souligné la complexité d’accès à l’information dans le parcours client.

Sources :

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France

Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE

Résumé des délibérations de la CNIL

Saisi d’un recours dirigé contre la sanction infligée par la CNIL à Google, le Conseil d’État confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Le Conseil d’Etat estime par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.

Le démarchage abusif est une inconvenance pour la plupart des Français à laquelle la liste d’opposition Bloctel ne répond que partiellement. Par une décision du 26 novembre, la CNIL entend contribuer à la solution en infligeant ainsi une amende de 500 000 euros à une entreprise qui se livrait à cette pratique.

Retour sur cette décision et ses retombées pratiques pour les entreprises qui utilisent ce mode de démarchage.

Les faits

La société en cause est spécialisée dans l’isolation thermique des domiciles des particuliers. C’est dans le cadre de son activité qu’elle effectuait, au travers de plusieurs centres d’appels, des campagnes de prospection téléphonique.

L’affaire commence par une plainte auprès de la CNIL. Une personne disait être démarchée très régulièrement par cette société, même après avoir indiqué oralement ne plus vouloir être appelée et qu’elle avait également exercé son droit d’opposition par courrier.

Un contrôle dans les locaux de l’entreprise a révélé que non seulement d’autres particuliers étaient dans la même situation, mais aussi divers manquements allant de commentaires injurieux sur les clients dans des zones de commentaires à l’encadrement insuffisant des transferts de données personnelles vers l’étrangers.

L’entreprise ne s’étant pas mise en conformité après une mise en demeure d’octobre 2018, restait seule la voie de la sanction.

La décision

La formation restreinte de la CNIL a pu constater 5 manquements au RGPD :

• L’absence de prise en compte du droit d’opposition des personnes. En effet, aucune procédure ne permettait de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées (arts 12 et 21 du RGPD) ;

• La présence de données non pertinentes consistant en des commentaires injurieux ou en lien avec la santé des personnes dans le fichier client de la société (art. 5-1-c) du RGPD) ;

• L’information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient (art. 13 du RGPD);

• Le défaut de coopération avec la CNIL (art. 31 du RGPD) ; et

• L’encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne, les centres d’appel étant pour beaucoup situés en Afrique du Nord (art. 44 du RGPD).

C’est sur la base de ces manquements, dont elle souligne le nombre, la persistance et la gravité, que la CNIL prononce une injonction de se mettre en conformité avec astreinte de 500 euros par jour de retard, ainsi qu’une amende de 500 000 euros à la société.

Ce qu’il faut en retenir

Dans cette délibération, la CNIL raffermit sa position et envoie 3 messages importants.

1. Les sanctions élevées ne seront pas réservées aux plus grandes entreprises ou aux multinationales. Les entreprises tentées de ne pas se mettre en conformité en se justifiant par leur petite ou moyenne taille sont désormais averties du pouvoir des plaintes venant du public, qui peuvent déclencher un contrôle.

2. Les entreprises spécialisées dans le démarchage, sous toutes ses formes, sont fortement encouragées à se mettre en conformité, car la CNIL entend ouvertement se tourner en priorité vers les sujets qui affectent le plus la vie quotidienne des particuliers.

3. Le comportement des entreprises lors de la procédure sera pris en compte au moment de la sanction. En l’espèce, l’entreprise refusait de coopérer avec la CNIL et avait tenté de se justifier, sans succès, par la mauvaise qualité des conseils qu’elle avait engagés. Raison de plus de montrer patte blanche lors d’un éventuel contrôle.

Sources :

• https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000039419459

• https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

• https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal