Il n’est pas courant que la CNIL[1] affiche publiquement les sanctions qu’elle inflige aux sociétés. En 2019, seules huit entreprises[2] ont été sanctionnées pour avoir manqué à leurs obligations légales, notamment celles relatives au RGPD[3], règlement européen de référence en matière de protection des données à caractère personnel.

Lorsque la commission s’exprime, ce n’est donc pas pour de petits faux pas, mais pour des faits relativement graves ayant des conséquences sur la vie privée et les données personnelles des clients et des consommateurs.

Les délibérations rendues par la CNIL sont particulièrement intéressantes car elles permettent aux différents acteurs (dirigeants, services techniques, services légaux, etc.) de découvrir les positions de la commission sur des sujets techniques ou légaux complexes, et d’en savoir plus sur les usages acceptés.

Griefs de la CNIL contre le groupe Carrefour

Deux sociétés ont été dans le viseur de la commission : Carrefour France, les magasins de grande distribution bien connus, et Carrefour Banque, la filiale bancaire de Carrefour. Cet article décrypte uniquement les manquements à l’encontre des magasins Carrefour.

Dans un délibéré[4] de plus de 200 éléments, l’organe de contrôle français a notamment reproché au géant du commerce :

  • La conservation de données sur ses clients pendant une période trop longue ;
  • La difficulté pour ses clients de faire appliquer leurs droits ;
  • La complexité à accéder aux informations règlementaires.

D’autres manquements en lien avec les données personnelles des clients de Carrefour ont également été constatés.

Conservation des données trop longue

La durée de conservation des données personnelles n’est pas expressément indiquée dans le règlement, mais dépend des raisons pour lesquelles on veut les garder :

« Les données à caractère personnel doivent être conservées […] pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »

— RGPD, article 5e, principes relatifs au traitement des données à caractère personnel

Carrefour avait décidé que la durée de conservation des données de ses clients abonnés à son programme de fidélité était de quatre ans, c’est-à-dire que les données étaient gardées pendant toute la période où le client était actif[5], puis quatre ans à compter de la date où il n’avait plus d’interactions avec la société.

Cette durée est jugée excessive par la commission qui rappelle qu’avant la mise en place du règlement européen, une ancienne norme française instaurait une durée maximale de trois ans, durée jugée déjà très large pour de la simple prospection commerciale. Mais le problème majeur n’est pas le fait que Carrefour veuille garder les données de ses clients quatre ans au lieu de trois, mais que la société n’appliquait tout simplement pas cette règle.

En réalité, les contrôles effectués dans les locaux de la société ont montré que les données étaient conservées pendant une période de 5 à 10 ans.

Il en va de même pour la conservation des copies de pièces d’identité envoyées par les clients voulant exercer leurs droits. La durée de conservation était de 1 à 6 ans, durée jugée également excessive. La CNIL considère que les justificatifs d’identité doivent être conservés uniquement pendant la période de traitement de la demande du client.

Le difficile parcours pour exercer ses droits

Le règlement RGPD accorde aux clients un certain nombre de droits comme le droit de consulter les données qui le concerne[6], le droit d’exiger que les données soient supprimées[7] ou le droit de s’opposer à ce que ses données soient utilisées[8].

Pour exercer ces droits, le client doit en faire la demande auprès de la société qui est tenue de répondre dans les meilleurs délais :

« Le responsable du traitement fournit à la personne concernée des informations […] dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. »

— RGPD, article 12-3, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Les clients de Carrefour devaient faire preuve de beaucoup plus de patience lorsqu’ils demandaient à ce que leurs droits soient exercés. Les contrôles réalisés ont montré que certains clients attendaient jusqu’à neuf mois, sans qu’aucune information ne leur soit communiquée.

Carrefour exigeait aussi qu’un justificatif d’identité lui soit envoyé pour chaque demande d’exercice de droits de ses clients, pratique contraire au règlement qui permet à une société de demander un tel document uniquement si elle a un doute sur l’identité de la personne :

« lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande […], il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. »

— RGPD, article 12-6, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

La complexité à accéder aux informations réglementaires

Le règlement veut que les explications des opérations réalisées sur les données personnelles des utilisateurs doivent être accessibles et simples pour permettre à tout le monde de les trouver facilement et de les comprendre :

« Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. »

— RGPD, considérant 39

Le site Internet de Carrefour ne l’était vraisemblablement pas assez, car il était nécessaire de faire défiler une dizaine de pages afin d’accéder aux informations relatives aux données personnelles. Et pas toutes les informations. Certaines parties étaient dans les conditions générales d’utilisation, certaines dans les conditions générales de vente, et certaines dans la page relative à la protection des données personnelles.

La commission estime que cela rendait la tâche trop difficile aux utilisateurs et rappelle que les informations relatives à la protection des données personnelles doivent être regroupées dans un document séparé.

Aussi, les conditions ont été jugées trop imprécises et ne permettaient pas aux utilisateurs de comprendre la nature des traitements réalisés sur leurs données personnelles. La commission a rappelé l’importance d’utiliser « des phrases courtes, d’employer un style direct, mais aussi d’éviter les termes juridiques ou techniques ».

Sur le fond, des éléments importants n’étaient pas précisés : le responsable du traitement n’était pas clairement identifié, la liste des pays vers lesquels les données pouvaient être transférées n’était pas complète et la durée pendant laquelle les données sont conservées n’était pas indiquée.

Autres manquements

D’autres manquements ont été opposés à la société Carrefour :

  • Le fait que la société n’ait pas correctement effacé les données personnelles de certains clients qui en avaient fait la demande ;
  • Le fait que certains clients aient reçu des SMS publicitaires malgré qu’ils se soient opposés à ces derniers ;
  • Le fait que des e-mails aient été envoyés à plus de 350 000 personnes dont certains n’avaient pas la capacité de se désabonner de ces envois ;
  • Le fait que les factures des clients étaient accessibles à partir d’une simple adresse Internet, sans que le client n’ait à se connecter à son compte ;
  • Le fait que la société n’ait pas notifié à la CNIL qu’une attaque informatique avait eu lieu sur leur système ayant conduit à l’accès frauduleux à plus de 4 000 comptes clients.
  • Le fait que des cookies aient été utilisés sur leur site sans le consentement des utilisateurs, notamment ceux proposés par Google Analytics permettant de connaître les pages visitées par les utilisateurs, mais également utilisés pour proposer des publicités personnalisées aux internautes.

Délibéré

Pour les éléments expliqués dans ce document, ainsi que de nombreux autres non repris dans cet article, la CNIL a prononcé une amende de 2 250 000 euros contre la société Carrefour France. Les délibérations ont été également rendues publiques.

Carrefour a réagi publiquement sur Twitter suite au délibéré :

La décision de la CNIL concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées. Le Groupe accusait en effet en 2018 un retard en matière digitale qui avait été diagnostiqué lors du lancement du plan Carrefour 2022. »

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. Huit sanctions ont été prononcées par la CNIL en 2019, dont 7 amendes d’un montant total de 51 370 000 € (source : cnil.fr).
  3. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  4. La CNIL a sanctionné la société Carrefour France pour des manquements au RGPD dans la délibération n° SAN-2020-008 du 18 novembre 2020. Voir « CARREFOUR sanctionné pour de nombreux manquements au RGPD ».
  5. Un client de Carrefour était considéré comme actif s’il passait sa carte fidélité en caisse d’un magasin, s’il effectuait une transaction en ligne, s’il modifiait des données personnellles dans son espace personnel, ou s’il contactait le service client.
  6. Les internautes ont le droit de consulter les données qui les concernent (source : RGPD, article 15).
  7. Les internautes ont le droit de demander à ce que les données qui les concernent soient supprimées (source : RGPD, article 17).
  8. Les internautes ont le droit de s’opposer à ce que leurs données soient utilisées (source : RGPD, article 21).