La CNIL a sanctionné la société Carrefour, le 18 novembre 2020, pour de nombreux manquements relatifs au RGPD, notamment une conservation excessive de données sur ses clients, un manque d’informations et des réponses aux demandes de droits des clients incomplètes ou tardives, mais aussi pour un manquement relatif à la loi française Informatique et Libertés[1], la loi encadrant notamment l’utilisation de cookies.

Conservation excessive de données sur les clients

Le géant de la grande distribution édite le site Web « CARREFOUR.FR » pour permettre à ses clients de passer des commandes et d’accéder à leur espace personnel. Il propose aussi à ses clients un programme de fidélité pour ses clients.

Le groupe Carrefour avait décidé de limiter la conservation des données des clients utilisant ces services à quatre ans à partir de la date de la dernière activité du client, c’est-à-dire la date du dernier passage de sa carte fidélité, de sa dernière commande ou de son dernier contact avec la société. La CNIL a cependant constaté que les systèmes informatiques de Carrefour n’appliquaient pas cette limite, car les données des clients étaient encore présentes dans les bases de données de la société. 28 millions de clients ayant souscrit au programme de fidélité de Carrefour étaient, par exemple, conservés bien que leur compte était inactif pendant plus de cinq ans.

La CNIL a rappelé à l’entreprise que les données à caractère personnel devaient être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[2], ce qui n’était manifestement pas le cas pour les données des clients de Carrefour, car Carrefour ne supprimait pas les données à la fin de la période de conservation définie.

La Commission française estime également que la durée de conservation de quatre ans était « excessive » et qu’une durée de trois ans[3] serait plus appropriée.

Inaccessibilité et imprécision de la politique de données personnelles

La CNIL reproche également à Carrefour la difficulté d’accès à sa politique de protection des données à caractère personnel, car les informations étaient « dispersées et morcelées entre plusieurs documents ». Certaines informations relatives aux données traitées par le site « CARREFOUR.FR » étaient, par exemple, contenues dans les 15 pages des conditions générales du site et les informations relatives aux données traitées par le programme de fidélité étaient intégrées aux 70 pages des conditions générales d’utilisation de la carte Carrefour.

La Commission a rappelé que les informations devaient être présentées « de manière efficace et succincte »[4] et que les informations devaient « être regroupées dans un document unique distinct des conditions générales d’utilisation ».

Par ailleurs, le contenu des informations est aussi problématique, car la société « utilisait des formulations peu claires, ambigües, ou imprécises ». la politique de Carrefour indiquait par exemple, « ces traitements incluent notamment », « vos données sont susceptibles d’être utilisées » ou des droits « qui trouveront à s’appliquer dans certains cas ».

La Commission juge que ces formulations sont « souvent inutilement compliquées » et qu’elles « rendaient la lecture des mentions d’information particulièrement fastidieuse, même pour une personne éclairée ». La Commission a rappelé qu’il fallait, dans la mesure du possible, « utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct, mais aussi éviter les termes juridiques ou techniques, les termes abstraits ou ambigus »[5].

Enfin, la CNIL considère que certaines informations étaient « incomplètes » ou « erronées » : le responsable de traitement n’était pas clairement identifié[6], la base juridique des traitements non plus[7], les garanties relatives au transfert de données vers des pays tiers n’étaient pas fournies[8] et la durée de conservation de certaines données n’était pas précisée.

Autres manquements reprochés à Carrefour

Enfin, la CNIL reproche aussi à la société Carrefour de nombreux autres manquements, notamment :

  • l’absence de réponse ou une réponse tardive[9] aux demandes de droits des clients[10] ;
  • la conservation de données de clients qui avaient demandé la suppression de leurs données personnelles ;
  • l’envoi d’e-mails et de SMS promotionnels à des clients qui s’y étaient opposés ;
  • le fait de réclamer systématiquement une copie de la carte d’identité aux clients souhaitant exercer leurs droits[11] ;
  • la conservation des copies pendant une durée de un à six ans des copies des pièces d’identité qu’elle demandait aux clients suite à une demande d’exercice de droits[12] ;
  • la possibilité d’accéder aux factures des clients à partir d’une simple adresse Internet, sans que le client ait besoin de se connecter à son compte[13] ;
  • l’absence de notification d’une attaque informatique ayant conduit à l’accès frauduleux à 275 comptes clients[14] ;
  • l’utilisation de 39 cookies, notamment le module Google Analytics[15], sans le consentement des utilisateurs[16].

Une sanction de 2,25 millions d’euros a été prononcée à l’encontre de Carrefour, soit 0,015 % de son chiffre d’affaires[17].

Lire :

Note : La société Carrefour Banque appartenant également au groupe Carrefour a a été sanctionné le même jour pour de nombreux manquement au RGPD (source : CNIL, SAN-2020-009, 18 novembre 2020, Carrefour). Voir « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».

Notes et références

  1. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  2. Le RGPD demande de conserver les données personnelles « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La société Carrefour ne pouvait donc pas conserver les données au-delà de la période qu’elle avait elle-même prédéfinie. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  3. La CNIL recommande que les données personnelles sur les clients et prospects soient conservées pendant une durée maximale de trois ans. Carrefour avait décidé d’une durée de conservation de quatre ans, sans pouvoir le justifier. La durée de quatre ans est donc jugée excessive. Voir « Combien de temps peut-on conserver des données sur ses clients et prospects ? ».
  4. Le RGPD demande que les informations concernant le traitement des données à caractère personnel soient communiquées « d’une façon concise, transparente, compréhensible et aisément accessible » (source : RGPD, article 12-1). Les informations fournies par Carrefour étaient difficilement accessibles, car elles étaient réparties dans plus documents. Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? ».
  5. Le RGPD demande que les informations concernant le traitement des données à caractère personne soient expliquées « en des termes clairs et simples » (source : RGPD, article 12-1). Les informations fournies par Carrefour étaient difficilement compréhensibles, car elles intégraient des formulations ambigües. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Le RGPD demande de communiquer aux personnes « l’identité et les coordonnées du responsable du traitement » (source : RGPD, article 13-1-a). Carrefour indiquait que la responsable du traitement était Carrefour Hypermarché, une autre société du groupe Carrefour. La CNIL considère que cette information est incorrecte, et juge que la société Carrefour France doit être considéré le responsable du traitement. L’information communiquée était donc incorrecte. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  7. Le RGPD demande de communiquer aux personnes « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement » (source : RGPD, article 13-1c). La base juridique (ou base légale) n’était pas clairement identifiée dans les informations de Carrefour, car la société utilisait des termes imprécis. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  8. Lorsque des données sont transférées dans des pays tiers, le RGPD demande de communiquer aux personnes « l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou […] la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition » (source : RGPD, article 13-1-f). Carrefour transférait des données dans d’autres pays, mais ne faisait aucune référence à d’éventuelles garanties. Voir « Peut-on transférer des données à caractère personnel vers un pays étranger ou vers une entreprise étrangère ? ».
  9. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). Carrefour aurait donc dû répondre aux demandes de ses clients, au plus tard, un mois après la date de réception des demandes. Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  10. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  11. Avant de donner suite à une demande d’exercice de droits, le RGPD permet au responsable de traitement de demander « des informations supplémentaires » s’il a « des doutes raisonnables quant à l’identité de la personne » (source : RGPD, article 12-6). Carrefour pouvait demander systématiquement une copie de la carte d’identitié des clients, mais uniquement s’il avait une bonne raison de le faire, ce qui n’était pas le cas. Voir « Peut-on demander un justificatif d’identité en réponse à une demande d’exercice de droits RGPD ? ».
  12. Avant de donner suite à une demande d’exercice de droits, le RGPD permet au responsable de traitement de demander « des informations supplémentaires » lorsqu’il a « des doutes raisonnables quant à l’identité de la personne » (source : RGPD, article 12-6). Carrefour pouvait donc demander une copie de la carte d’identité de la personne s’il estimait avoir un doute sur son identité. Le document devait cependant être utilisé uniquement pour réaliser la vérification, mais ne devait pas être conservé. Voir « Peut-on demander un justificatif d’identité en réponse à une demande d’exercice de droits RGPD ? ».
  13. Le RGPD demande aux responsables de traitement de données personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). Les factures des clients de Carrefour étaient librement accessibles sur Internet et toute personne qui connaissait l’adresse de ces factures pouvait y accéder. La CNIL considère qu’une authentification préalable est nécessaire.
  14. En cas de violation de données, le RGPD demande aux responsables de traitement de « notifie[r] la violation en question à l’autorité de contrôle compétente […] à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » (source : RGPD, article 33-1). L’attaque subie par Carrefour ayant conduit à l’accès à 275 comptes clients, qui contiennent l’identité des personnes, leur numéro de téléphone, leur adresse électronique et leur adresse physique, la CNIL considère que Carrefour aurait dû notifier cette violation de données. Voir « Faut-il déclarer aux autorités la perte ou la divulgation de données à caractère personnel ».
  15. De manière générale, le consentement des internautes est nécessaire lorsque des cookies sont utilisés. Il existe cependant des exceptions pour certains outils de mesure d’audience. Google Analytics ne fait pas partie de ces exceptions. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser Google Analytics ? ».
  16. Sauf exceptions, le consentement des visiteurs doit être obtenu lorsque des cookies sont utilisés (source : loi Informatique et Libertés, article 82). Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  17. Le chiffre d’affaires de la société Carrefour, qui a servi de base pour le calcul de l’amende, est de 14,9 milliards d’euros (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour, §202).

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données