La Commission nationale de l'informatique et des libertés (Cnil) révèle avoir condamné Carrefour à une amende de plus de 3 millions d'euros pour des manquements au Règlement général sur la protection des données (RGPD) qui est en vigueur en Europe depuis mai 2018.

La sanction vise deux filiales du groupe Carrefour. Carrefour France dans le domaine de la grande distribution (carrefour.fr) et Carrefour Banque (carrefour-banque.fr) dans le secteur bancaire, avec respectivement 2,25 millions d'euros et 800 000 euros d'amende.

cnil-sanction
Les manquements reprochés avaient été constatés à l'issue de contrôle effectués entre mai et juillet 2019. Ils ont eu lieu après le recueil de plaintes d'utilisateurs des sites du groupe. Carrefour s'est mis en conformité et a modifié ses pratiques pendant la procédure.

Clarté, cookies publicitaires sans consentement, stockage excessif...

Dans un communiqué, la Cnil liste des manquements à l'obligation d'informer les personnes, relatifs aux cookies, pour la limitation de la durée de conservation des données, l'obligation de faciliter l'exercice des droits ou encore l'obligation de traiter les données de manière loyale.

À titre d'exemple, l'information concernant le programme de fidélité ou la carte de crédit n'était pas suffisamment claire voire incomplète, des cookies publicitaires des sites carrefour.fr et carrefour-banque.fr étaient déposés sur l'appareil de l'utilisateur sans le recueil préalable de son consentement.

Parmi d'autres choses, la Cnil a également épinglé le stockage de données de plus de 28 millions de clients inactifs depuis 5 à 10 ans pour le programme de fidélité (et dans une moindre mesure le site carrefour.fr), la transmission de davantage de données qu'indiqué par Carrefour Banque.

La sanction de Cnil est forcément une mauvaise publicité pour Carrefour en cette période de fin d'année. Le groupe a réagi en déclarant que la décision de la Cnil concerne des " défaillances passées et isolées " qui sont " aujourd'hui entièrement corrigées. " Tout en soulignant " qu'aucune donnée sensible " n'était concernée et " qu'aucun avantage financier " n'a été tiré.