Le distributeur français Carrefour a été sanctionné par la Cnil (Commission nationale informatique et libertés) pour plusieurs manquements aux règles du RGPD et de la protection des données auxquelles doivent se plier toutes les entreprises en France. Entre autres choses, la Cnil a remarqué un transfert de données personnelles entre Carrefour Banque et l’enseigne de distribution.
Des contrôles menés par la Cnil mi-2019
L’affaire remonte à désormais plus d’un an, mais la Cnil n’aura pas été empêchée par la crise de la Covid-19 pour continuer son enquête et rendre, finalement, sa décision le 26 novembre 2020. Des contrôles réalisés entre mai et juin 2019 lui avait en effet permis d’identifier au moins trois manquements graves du groupe Carrefour aux règles de protection des données.
Parmi les manquements signalés, un a de quoi inquiéter les clients du groupe. Carrefour Banque aurait transmis au programme de fidélité de l’enseigne de distribution des données telles que l’adresse, le numéro de téléphone ou encore le nombre d’enfants de certains de ses clients tout en disant « explicitement », selon les termes de la Cnil, qu’aucune donnée n’était partagée. Avec ses informations, Carrefour pouvait mieux cibler les clients de son programme de fidélité oui, tout simplement, réaliser de nouvelles statistiques.
Des problèmes résolus et une amende de plusieurs millions d’euros
D’autres problèmes ont été identifiés par la Cnil : l’installation de cookies sur le navigateur des utilisateurs avant leur consentement obligatoire ainsi qu’une conservation de données allant jusqu’à 10 ans après le dernier achat, alors que la Cnil n’autorise que la conservation durant 4 ans après le dernier achat.
Carrefour souligne avoir corrigé ces manquements, chose confirmée par la Cnil. Le groupe précise en outre n’avoir tiré « aucun avantage financier » de ces pratiques.
Reste que la Cnil a sanctionné : elle a infligé une amende cumulée de 3,25 millions d’euros au groupe, dont 800.000 euros pour Carrefour Banque.