L’annonce d’une nouvelle sanction envers le groupe Carrefour par la CNIL

Dans le cadre de son combat pour le respect du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné, le 18 novembre dernier, deux entreprises du groupe Carrefour : les sociétés Carrefour France et Carrefour Banque à hauteur de 2 250 000€ pour la première et 800 000 euros pour la deuxième.

Source: https://www.cnil.fr/professionnel

La CNIL a étudié comment le groupe Carrefour déclinait le RGPD au sein de ses différents services. Suite à ce travail, elle a relevé des manquements détaillés dans le corps de cet article :

  • La politique des cookies n’était que partiellement appliquée : l’article 82 de la loi informatique et libertés de 1978, impose que tous cookies ou traceurs ne peuvent être déposés sur le terminal de l’utilisateur sans le consentement explicite de ce dernier à l’exception de deux types particuliers de cookies clairement identifiés. Or, des cookies nécessitant le recueil préalable du consentement des utilisateurs étaient déposés par défaut dès la connexion à la page d’accueil des sites web.
  • Un manquement relatif aux modalités relatives au contenu de l’information; or le responsable de traitement a pour obligation d’informer les personnes :

Les informations n’étaient pas assez précises : les durées de conservation des données n’étaient pas précisées, le responsable de traitement n’était pas clairement identifiable…

Elles n’étaient pas aisément accessibles : le parcours de l’utilisateur pour trouver une information sur le traitement de ses données personnelles est trop compliqué.

Le contenu n’était pas assez compréhensible : il est généralement recommandé aux entreprises d’utiliser des termes simples pour que toute personne puisse appréhender les traitements réalisés sur leurs données personnelles.

  • Un manquement concernant la modalité d’exercice des droits a été relevé : difficulté pour les personnes d’exercer leurs droits car un justificatif d’identité était demandé à chaque nouvelle demande alors que l’utilisateur était déjà identifiable dans certains cas.
  • Un manquement à l’obligation de limiter la durée de conservation des données a aussi été souligné : la société CARREFOUR France avait fixé une durée considérée comme excessive et non justifiée par rapport aux finalités du traitement.
  • Dans plusieurs cas, aucune suite n’avait été donnée aux demandes d’accès et d’effacement des utilisateurs à leurs des données personnelles, ce qui contrevient aux articles 15 et 17 du RGPD.
  • Enfin, l’entreprise n’avait pas pris en compte l’opposition des destinataires de courriels au traitement de leurs données personnelles à des fins de prospection.

La vigilance de la CNIL semble porter ses fruits, car à la suite des premiers contrôles effectués sur place et en ligne par celle-ci, des efforts de mise en conformité ont été réalisés par les deux sociétés. Au regard de ces efforts, la CNIL a considéré qu’il n’était pas nécessaire de prendre une injonction à l’égard du groupe Carrefour. Mais les amendes prononcées restent néanmoins justifiées face aux manquements constatés.

Rappelons que cette décision peut encore faire l’objet d’un recours devant le Conseil d’Etat, affaire à suivre…

A propos de Mathilde DUBOIS

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.