Données personnelles : Trois millions d'euros d'amende pour le groupe Carrefour épinglé par la Cnil

REGULATION Le géant de la distribution affirme n’avoir retiré « aucun avantage financier » de ces manquements, aujourd’hui « corrigés »

20 Minutes avec AFP

— 

Un supermarché Carrefour à Nice (image d'illustration).
Un supermarché Carrefour à Nice (image d'illustration). — SYSPEO/SIPA

Carrefour a été sanctionné d’une amende de trois millions d’euros par le gendarme français des données personnelles. La Cnil a considéré que deux sociétés du groupe avaient enfreint les règles européennes sur les données de leurs clients.

Saisie de plusieurs plaintes et après avoir effectué des contrôles entre mai et juillet 2019, « la Cnil a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels », écrit la Commission dans un communiqué publié ce jeudi sur son site. Carrefour France devra s’acquitter d’une amende de 2,25 millions d’euros, et Carrefour Banque de 800.000 euros.

Des manquements « aujourd’hui corrigés »

Aucune injonction n’a été prononcée, le régulateur ayant depuis « constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés ». « La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées », a réagi Carrefour sur Twitter. Le géant de la distribution affirme également n’avoir retiré de ces pratiques « aucun avantage financier ».

Dans le détail, la Cnil reproche à Carrefour de n’avoir pas informé suffisamment les utilisateurs de ses sites et les clients inscrits à son programme de fidélité sur la durée de conservation et les traitements, dont beaucoup étaient de plus irréguliers, appliqués à leurs données personnelles.

Des données conservées pendant des années

Le régulateur a constaté que des « cookies » (traceurs) servant à la publicité étaient déposés lors d’une connexion sur le site avant que le consentement de l’utilisateur ne soit obtenu comme l’impose le Règlement général sur la protection des données (RGPD) entré en vigueur en mai 2018.

Carrefour Banque a également communiqué au programme de fidélité de l’enseigne de distribution l’adresse postale, le numéro de téléphone ou le nombre d’enfants de personnes souscrivant à une offre de crédit, alors qu’elle « indiquait explicitement qu’aucune » de ces données n’était transmise.

Enfin, « la société Carrefour France ne respectait pas les durées de conservations des données qu’elle avait fixées », note le régulateur. Les profils de quelque 28 millions de clients du programme de fidélité et 750.000 utilisateurs du site carrefour.fr, inactifs depuis cinq à dix ans, étaient ainsi conservés. La Cnil considère qu’une durée dépassant quatre ans après le dernier achat est excessive.