La CNIL a sanctionné la société CARREFOUR BANQUE, le 18 novembre 2020, pour des manquements relatifs au RGPD et pour des manquements relatifs à la loi encadrant l’utilisation de cookies[1].

Traitement déloyal de données

La banque, détenue par CARREFOUR et BNP PARIBAS[2], proposait à ses clients de souscrire au programme de fidélité des magasins Carrefour appartenant à sa maison mère. Pour souscrire, l’internaute devait cocher une case sur le site CARREFOUR-BANQUE.FR dont le libellé indiquait : « Je souhaite rattacher mon compte Fidélité Carrefour à ma carte Pass (ou à défaut le créer et le rattacher). Pour cela, j’accepte que Carrefour Banque communique à Carrefour Fidélité mon nom, prénom et email. Carrefour Banque s’engage à ne transmettre aucune autre information à Carrefour Fidélité ».

Malgré l’engagement de CARREFOUR BANQUE de ne pas transmettre d’autres informations que le nom, le prénom et l’adresse e-mail du client, la banque communiquait aussi à Carrefour l’adresse postale du client, son numéro de téléphone et le nombre d’enfants déclarés.

La CNIL a rappelé à CARREFOUR BANQUE que les données à caractère personnel devaient être traitées « de manière licite, loyale et transparente »[3] et a considéré qu’en réalisant quelque chose qu’elle s’était engagée à ne pas faire, CARREFOUR BANQUE « a manqué au principe de loyauté ». La Commission a également jugé le libellé « à la fois imprécis et trompeur », car il mentionne le nom de « Carrefour Fidélité », sans préciser que ce nom désignait en réalité une société tierce, en l’occurrence CARREFOUR FRANCE.

Inaccessibilité et imprécision de la politique de données personnelles

La CNIL reproche également à CARREFOUR BANQUE la difficulté d’accès[4] à sa politique de protection des données à caractère personnel, car les informations détaillant les traitements réalisés étaient accessibles, soit à partir d’un lien nommé « Protection des données bancaires », soit à partir d’un lien présent dans les « Mentions légales ». Dans le premier cas, la Commission a considéré que l’intitulé était imprécis, car il mentionnait des données bancaires, et dans le second cas, la Commission a rappelé que l’utilisateur « ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder ».

Les informations contenues dans cette politique de protection des données posaient aussi problème. La Commission a considéré que l’information communiquée était « à la fois imprécise et lacunaire », car les durées de conservation des données utilisaient des « formulations trop vagues »[5] et car le traitement de données relatif au comportement des clients, de ses habitudes, et de ses préférences de consommation n’était pas expliqué.

Utilisation illicite de cookies

Enfin, la CNIL reproche aussi à CARREFOUR BANQUE l’utilisation de cinq cookies sur le site CARREFOUR-BANQUE.FR sans obtenir le consentement préalable des internautes[6]. Trois étaient déposés par Google Analytics[7] et deux étaient déposés par Microsoft.

Une sanction de 800 000 euros a été prononcée à l’encontre de CARREFOUR BANQUE, soit 0,26 % de son produit net bancaire[8].

Lire :

Note : La société CARREFOUR FRANCE appartenant également au groupe CARREFOUR a a été sanctionné le même jour pour de nombreux manquement au RGPD (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».

Notes et références

  1. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  2. La société CARREFOUR BANQUE est détenue à 60 % par le groupe CARREFOUR et 40 % par au groupe BNP PARIBAS.
  3. Le RGPD indique que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente » (source : RGPD, article 5-1-a).
  4. Le RGPD demande de prendre « des mesures appropriées pour fournir toute information […] d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (source : RGPD, article 12-1). Les informations de Carrefour Banque n’étaient pas aisément accessibles, car elles étaient situées dans les mentions légales ou étaient nommées de façon imprécise. Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? ».
  5. Le RGPD demande que la « durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée » soient communiqués. Les durées communiquées par Carrefour Banque étaient imprécises et indéfinis, car elles faisaient référence notamment aux « délais de prescription légale applicables », aux « réglementations et lois applicables ». Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Sauf exceptions, le consentement des visiteurs doit être obtenu lorsque des cookies sont utilisés (source : loi Informatique et Libertés, article 82). Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  7. De manière générale, le consentement des internautes est nécessaire lorsque des cookies sont utilisés. Il existe cependant des exceptions pour certains outils de mesure d’audience. Google Analytics ne fait pas partie de ces exceptions. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser Google Analytics ? ».
  8. Le produit net bancaire de la banque, qui a servi de base pour le calcul de l’amende, est de 308 millions d’euros. Pour les sociétés traditionnelles, c’est habituellement le chiffre d’affaires qui est utilisé.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données