La CNIL1 a sanctionné la société Carrefour Banque, le 18 novembre 2020, pour de très nombreux manquements relatifs aux RGPD2.

La Commission reproche notamment à la banque :

  • la transmission de données à caractère personnel au programme de fidélité des magasins Carrefour France lors de la souscription d’une carte de paiement, et ce, contrairement à leur engagement de ne pas le faire. L’adresse postale, les numéros de téléphone et le nombre d’enfants déclarés étaient ainsi transmis entre les deux sociétés sans que le client en soit informé ;
  • la difficulté d’accéder ou de consulter les informations liées au traitement des données à caractère personnel sur leur site carrefour-banque.fr. Les informations étaient soit intégrées à d’autres documents légaux, soit nommées de façon imprécise.
  • l’absence d’informations relatives au traitement des données à caractère personnel sur les pages où les données des clients étaient collectées.
  • l’imprécision de la politique de confidentialité de la société, qui communiquait des informations imprécises ne permettant pas aux clients de connaître les durées exactes de conservation des données3.
  • l’utilisation de nombreux cookies et traceurs non essentiels sur leur site Internet, carrefour-banque.fr, sans le consentement des utilisateurs4.

Une sanction de 800 000 euros a été prononcée à l’encontre de Carrefour Banque, soit 0,26 % de leur produit net bancaire5.

Il est aussi important de noter que la société Carrefour Banque est détenue majoritairement6 par le groupe Carrefour, groupe dont la filiale Carrefour France a aussi fait l’objet d’une procédure7 et d’une sanction pour de très nombreux manquements.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD impose que les durées de conservation des données à caractère personnel soient communiquées de sorte que les personnes puissent facilement comprendre leur durée, soit avec une période fixe, soit en expliquant les critères utilisés pour calculer cette période. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont collectées ? ».
  4. L’utilisation de cookies sur un site Internet nécessite, de façon générale, l’autorisation des visiteurs. Voir « Doit-on demander le consentement des utilisateurs avant d’utiliser des cookies ? ».
  5. Le produit net bancaire de la banque, qui a servi de base pour le calcul de l’amende, est de 308 millions d’euros. Pour les sociétés traditionnelles, c’est habituellement le chiffre d’affaires qui est utilisé.
  6. la société Carrefour Banque est détenue à 60 % par le groupe Carrefour et 40 % par au groupe BNP Paribas.
  7. La CNIL a sanctionné la société CARREFOUR FRANCE pour des manquements relatifs au RGPD (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour de nombreux manquements au RGPD ».