La CNIL vient d’infliger une amende de trois millions d’euros à Carrefour, à cause de graves manquements au RGPD quant au traitement et à la conservation des données personnelles de ses clients. Fort heureusement, ces défaillances ont depuis été corrigées.
Plus de deux ans après l’entrée en vigueur du RGPD, même les plus grands groupes industriels français ne se sont pas forcément conformés à la nouvelle règlementation. La preuve : Carrefour vient d’écoper d’une amende de 3 millions d’euros infligée par la CNIL.
Dans un communiqué publié ce jeudi 26 novembre 2020, la CNIL accuse le géant de l’hypermarché de « manquements concernant le traitement des données des clients et des utilisateurs potentiels « . Ces manquements ont été constatés lors de contrôles effectués entre mai et juillet 2019, suite à plusieurs plaintes.
Plus spécifiquement, deux branches de l’entreprise sont mises en cause. Carrefour France devra payer 2,25 millions d’euros, et Carrefour Banque 800 000 euros.
La firme est accusée de ne pas avoir suffisamment informé les utilisateurs de ses sites sur la durée de conservation et les traitements des données personnelles. Il en va de même pour les clients inscrits à son programme de fidélité.
De plus, plusieurs irrégularités ont été relevées concernant ces traitements. Tout d’abord, des cookies publicitaires étaient automatiquement déposés lors d’une connexion sur le site web de Carrefour, avant même que le consentement de l’utilisateur ne soit obtenu.
Carrefour conservait les données de 28 millions de clients inactifs depuis 10 ans
Du côté de Carrefour France, la durée de conservation des données dépassait les limites fixées par la société. Ainsi, elle conservait les données de 28 millions de clients de son programme fidélité et 750 000 utilisateurs du site carrefour.fr inactifs depuis 5 à 10 ans. Selon la CNIL, ces informations auraient dû être supprimées au plus tard quatre ans après le dernier achat.
Chez Carrefour Banque, des données sensibles telles que l’adresse postale, le numéro de téléphone ou le nombre d’enfants de personnes souscrivant à un crédit ont été communiquées au programme de fidélité de la marque. Pourtant, la transmission de ces données n’était indiquée nulle part.
Malgré ces graves manquements, aucune injonction n’a été prononcée par la CNIL. L’autorité française indique avoir » constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés « .
De son côté, Carrefour confirme que la décision de la CNIL concerne » des défaillances passées et isolées » qui sont aujourd’hui entièrement corrigées. L’entreprise précise aussi n’avoir profité » d’aucun avantage financier » grâce à ces données, qui auraient donc été collectées et conservées par erreur plutôt que par cupidité…
- Partager l'article :