Entre mai et juillet 2019, la CNIL a été saisie de plusieurs plaintes visant les sociétés Carrefour France et Carrefour Banque qui ont déclenché un contrôle des traitements de données personnelles effectués par ces sociétés.
La CNIL a constaté de nombreux manquements notamment :
- L’utilisation des cookies qui étaient déposés sur le terminal des utilisateurs avant le recueil de leur consentement ;
- L’obligation d’information des personnes concernées : la CNIL a jugé que les informations fournies par le groupe Carrefour étaient difficilement accessibles, peu claires et parfois incomplètes (durée de conservation, transferts de données hors UE et bases légales) ;
- Le respect des droits des personnes concernées : la demande systématique d’un justificatif d’identité n’était pas justifiée, le délai d’un mois pour répondre aux demandes était régulièrement dépassé ou les demandes n’étaient pas traitées, notamment en matière d’opposition à la prospection commerciale par SMS ou par email ;
- L’obligation de traiter les données de manière loyale : certaines données étaient transmises par Carrefour Banque à Carrefour Fidélité en contradiction totale avec l’information transmise aux personnes concernées au moment du recueil de leur consentement pour effectuer le transfert ;
- Les durées de conservation des données : certaines durées étaient trop importantes (4 ans après le dernier achat des clients) et elles n’étaient pas respectées, ce qui a donné lieu à la conservation des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans.
Les sociétés s’étant entretemps mises en conformité aucune injonction n’a été prononcée par la CNIL mais elle a néanmoins sanctionné la société CARREFOUR FRANCE d’une amende de 2.250.000 euros et la société CARREFOUR BANQUE d’une amende de 800.000 euros.
Pour lire la décision de la CNIL.