Les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE ont été respectivement condamnées par la CNIL à payer une amende administrative de 2 250 000 et de 800 000 euros au titre de la violation du Règlement européen sur la protection des données à caractère personnel (ci-après « RGPD »).
Les sociétés ont, selon la CNIL, commis plusieurs manquements à la règlementation en matière de données à caractère personnelles :
- Manquement à l’obligation d’information
Le RGPD prévoit, aux articles 13 et 14, diverses informations qu’il appartient au responsable de traitement de fournir à la personne concernée par le traitement à caractère personnel qu’il met en œuvre.
Selon la CNIL, les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE auraient été défaillantes dans la mise en œuvre de cette obligation, l’information délivrée à leurs clients à ce titre n’ayant été ni facilement accessible, ni facilement compréhensible, et ayant en outre été incomplète.
- Absence de recueil du consentement des personnes concernées s’agissant des cookies publicitaires
L’article 82 de la Loi informatique et libertés (ci-après désignée « LIL ») prévoit que, pour qu’un traitement de cookies publicitaires soit licite, l’internaute concerné doit (i) être informé de la finalité du recueil de cookies sur son terminal, ainsi que des moyens dont il dispose pour s’y opposer, et (ii) consentir à ce traitement.
Les sociétés en cause auraient manqué à l’obligation de recueillir le consentement préalable des personnes concernées à ce titre.
- Absence de limite de durée de conservation des données
Le RGPD prévoit que les données personnelles doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e), à savoir, selon les préconisations de la CNIL, deux (2) ans à compter du dernier contact s’agissant des données prospects.
Or, la société CARREFOUR FRANCE aurait conservé les données de (i) plus de vingt-huit millions de clients, et (ii) 750 000 utilisateurs du site carrefour.fr, inactifs depuis cinq à dix ans, dans le cadre notamment de son programme de fidélité, en violation de ces dispositions.
- Manquement à l’obligation de faciliter l’exercice des droits des personnes concernées
Selon l’article 12.2 du RGPD, « Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée ».
La société CARREFOUR FRANCE aurait manqué à cette obligation en exigeant systématiquement des personnes exerçant leurs droits un justificatif de leur identité, alors même que celle-ci ne faisait pas de doute.
- Manquement au respect des droits des personnes concernées
Le RGPD et le Code des postes et des communications électroniques disposent de plusieurs droits dont bénéficie la personne concernée par le traitement.
CARREFOUR FRANCE aurait violé les (i) droit d’accès, (ii) droit à l’effacement, et (iii) droit d’opposition de plusieurs personnes.
- Manquement à l’obligation de traiter les données de manière loyale
L’article 5.1.a du RGPD dispose que « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ».
CARREFOUR BANQUE aurait manqué à cette obligation en procédant au traitement de données dont elle aurait pourtant informé les personnes concernées qu’elles ne seraient pas traitées.
CARREFOUR FRANCE et CARREFOUR BANQUE sont ainsi condamnées par la CNIL à payer une amende administrative d’un montant cumulé de plus d’un (1) million d’euros.
Il convient de noter que les deux sociétés ayant procédé à une mise en conformité de l’ensemble des points précités dans le courant de la procédure en cause, aucune injonction n’a été prononcée à leur encontre par la CNIL.
Le Cabinet et son équipe d’avocats spécialisés en données personnelles sont à votre disposition pour vous assister pour toute mise en conformité de votre entreprise à la règlementation en matière de protection des données à caractère personnel.
Par Eva Baliner-Poggi et l’équipe IP/IT
Source : CNIL
Comments are closed.