Les sociétés Carrefour France et Carrefour Banque ont été sanctionnées par la CNIL suite aux plaintes des clients et des utilisateurs potentiels. Les deux sociétés membres du groupe CARREFOUR ont donc fait objet d’un contrôle entre mai et juillet 2019. Plusieurs infractions ont été relevées par rapport à la gestion des données des utilisateurs. Les deux entreprises ont donc été sanctionnées de 2 250 000 euros pour Carrefour France et 800 000 euros pour Carrefour Banque. Face à ses sanctions, les deux sociétés se sont rapidement conformées aux dispositions légales.

QUELS SONT LES DIFFÉRENTS MANQUEMENTS À L’ENCONTRE DES UTILISATEURS ET DES CLIENTS QUI ONT ÉTÉ RÉVÉLÉS PAR LA CNIL ?

Après ses différentes enquêtes, la CNIL a relevé au total 6 différents manquements à certaines dispositions légales. Ces 6 dispositions du RGPD, de la Loi Informatique et Libertés et du Code des postes et des communications électroniques n’ont pas été respectées. Voici en détail les différents manquements relevés.

  • Non-respect de l’article 13 du RGPD relatif à l’obligation d’informer les personnes

Les utilisateurs ont difficilement accéder aux informations fournies dans le cadre du programme fidélité ou de la carte Pass proposé par Carrefour France. Ces dernières sont mal formulées, incomplètes et difficiles à comprendre. Sur le site carrefour.fr, les utilisateurs n’ont pas assez d’informations sur les transferts de données hors de l’Union européenne.

  • Non-respect de l’article 82 de la Loi Informatique et Libertés relatives aux cookies

L’affichage des cookies ne respecte pas les dispositions en vigueur. Lorsque les utilisateurs se connectent à carrefour.fr ou à carrefour-banque.fr, des cookies de publicités sont déposés aussitôt sur l’appareil de l’utilisateur sans aucun consentement de sa part.

  • Non-respect de la disposition du RGPD relative à la limitation de la durée de conservation des données

Carrefour France a gardé les données des utilisateurs pendant une durée qui excède celle prévue par la loi. Les données de millions d’utilisateurs ont été conservées dans le cadre du programme de fidélité pendant près de dix ans.

  • Non-respect de la disposition du RGPD relative à l’obligation de faciliter aux utilisateurs l’exercice des droits

Carrefour France a exigé à des utilisateurs une justification d’identité non justifiée. La société n’a pas non plus respecté les délais de traitement des demandes d’exercice de droits des utilisateurs.

  • Non-respect des droits des utilisateurs tels que prévus par certaines dispositions du RGPD et du Code des postes et des communications électroniques

Carrefour France n’a pas réagi suite à certaines demandes des utilisateurs. Les demandes de ceux qui souhaitent accéder à leurs données, les demandes d’effacement de données, n’ont pas été prises en compte. Certaines personnes ont continué de recevoir des messages de publicité, malgré leur refus par demande explicite.

  • Non-respect des dispositions relatives au traitement correct des données des utilisateurs

La CNIL a remarqué que certaines données des utilisateurs ont été transmises en l’absence de leurs accords. La société CARREFOUR BANQUE a pourtant précisé que les données concernées ne seront pas transmises dans le cadre de son programme de fidélité.

QUELLES SONT LES MESURES PRISES PAR LES DEUX SOCIÉTÉS SUITE À CES SANCTIONS ?

Face aux différentes sanctions qui les menacent, les deux sociétés ont apporté des corrections nécessaires pour se mettre en règle. Voici les mesures de mise en conformité qui ont été prises :

  • modification en vue de faciliter l’accès et la compréhension des informations fournies aux utilisateurs ;
  • désormais les cookies de publicité ne se déposeront uniquement si l’internaute donne son consentement ;
  • les données des utilisateurs qui excèdent les délais de conservation prévus sont systématiquement supprimées ;
  • Carrefour France a conformé ses pratiques pour faciliter l’exercice des droits de ses clients notamment par rapport à la justification d’identité ;
  • désormais les demandes des clients sont traitées correctement et les problèmes techniques du site sont résolus ;
  • les données des utilisateurs et des clients sont désormais traitées avec probité.

En raison des corrections apportées en vue de se conformer aux manquements relevés, la CNIL n’a pas prononcé d’injonction pour les différentes sanctions.

0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.