C’est une amende sévère que la Commission Nationale de l’Informatique et des Libertés (CNIL) a imposé à Carrefour et à sa filiale Carrefour Banque. 2,25 millions d’euros pour le premier et 800 000€ pour la seconde au motif de manquements à la politique de protection des données des clients et des utilisateurs potentiels.
La CNIL a frappé fort, et a relevé dans sa décision plusieurs manquements graves à des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD). Le montant total des sanctions financières fixé par le régulateur dépasse les 3 millions d’euros.
De nombreux manquements
Dans sa décision, la CNIL estime que les actions de Carrefour France et Carrefour Banque entraient en contradiction avec 7 articles du RGPD et avec un article du Code des Postes et communications électroniques et un de la Loi Informatique et Libertés.
Première infraction relevée par le régulateur : des manquements clairs à l’obligation d’informer les personnes, avec une “information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible.”
D’après les informations transmises par la CNIL, les données de 28 millions de clients inactifs depuis 5 à 10 ans avaient en outre été conservées par Carrefour dans le cadre de son programme de fidélité. Un manquement flagrant à l’obligation de limiter la durée de conservation des données, pour laquelle la période de quatre ans est déjà considérée comme excessive par le régulateur.
On reproche également au groupe plusieurs manquements à l’exercice et au respect des droits : plusieurs personnes qui en avaient fait la demande se sont vues refuser l’accès et l’effacement de leurs données personnelles. Pour ne rien arranger, Carrefour aurait fait de la publicité par SMS ou courrier électronique auprès de clients qui avaient indiqué ne plus vouloir en recevoir.
La récupération et le traitement a posteriori des données posent aussi problème selon la CNIL qui affirme que certains adhérents à la carte Pass qui pensaient ne fournir que leur prénom, nom et adresse mail en rejoignant le programme de fidélité ont en fait communiqué à cette occasion leur adresse postale, leur numéro de téléphone et le nombre d’enfants qu’ils ont à charge sans en être averti. Il en va de même pour l’usage de cookies servant à la publicité qui étaient imposés au visiteur du site carrefour.fr sans qu’il y ait préalablement consenti.
Les sanctions imposées à Carrefour n’ont pas manqué de faire réagir les internautes et les spécialistes des questions de numérique et de gestion des données, comme l’influenceur Korben et de nombreux observateurs de cette question.
Des corrections déjà apportées par Carrefour
Il fait peu de doute que la sévérité de la décision va agir comme un électrochoc pour le groupe qui est actuellement dans l’œil de la tornade et fait couler beaucoup d’encre. L’introduction du chômage partiel dans ses points de vente français ou encore le lynchage d’un homme noir par des agents de sécurité de l’enseigne à Porto Alegre ne manquent pas d’attiser la colère de l’opinion publique, qui accorde à présent beaucoup d’importance à l’éthique et aux valeurs que porte une marque.
Après l’annonce de la décision, le Groupe a indiqué avoir reconnu les erreurs passées en matière de politique des données et avoir intégré ces évolutions au plan stratégique “Carrefour 2022” lancé il y a quelques mois.
Carrefour a désormais largement mis à jour sa politique digitale, en particulier en matière de gestion des données et a notamment entièrement rénové le système de souscription de la carte Pass. Se disant “en pleine conformité avec le RGPD”, le groupe a fait le choix d’assumer les lourdes erreurs du passé, ainsi que leurs conséquences financières.
