Sanctions par la CNIL de 2 225 000 euros et 800 000 euros à l’encontre de deux sociétés du groupe Carrefour

En effet, dans deux délibérations du 18 novembre 2020, la CNIL a prononcé une double sanction à l’encontre des sociétés Carrefour France et Carrefour Banque. La CNIL a ainsi condamné ces deux sociétés à payer respectivement 2 250 000 euros et 800 000 euros d’amendes pour violations des obligations du RGPD.

 

Lors de différents contrôles exercés par la CNIL entre mai et juillet 2019, la CNIL a ainsi constaté différents manquements des sociétés Carrefour France et Carrefour Banque aux obligations prévues par le RGPD.

 

Tout d’abord, la CNIL a constaté des manquements à l’obligation d’informer les personnes, prévue à l’article 13 du RGPD. En effet, les informations fournies aux utilisateurs sur les sites internet de Carrefour France et Carrefour Banque n’étaient pas facilement accessibles et compréhensibles et étaient incomplètes notamment sur la durée de conservation des données.

 

Par ailleurs, la CNIL a constaté des manquements relatifs aux cookies. En effet, les sites de Carrefour France et Carrefour Banque ne demandaient pas le consentement des utilisateurs lors du dépôt de plusieurs traceurs publicitaires sur leurs terminaux.

 

La CNIL a aussi constaté un manquement à l’obligation de limiter la durée de conservation des données, prévue à l’article 5.1.e du RGPD. Les données des clients inactifs de Carrefour France ainsi que les données des utilisateurs du site de Carrefour France étaient conservées pour une durée allant de cinq à dix ans. Or la formation restreinte de la CNIL a considéré qu’une conservation des données des clients au-delà de 4 ans après leur dernier achat dans le domaine de la grande distribution était excessive.

 

En outre, la CNIL s’est prononcée sur l’existence d’un manquement à l’obligation de faciliter l’exercice des droits, prévue à l’article 12 du RGPD en raison de l’exigence systématique d’un justificatif d’identité pour toute demande d’exercice de droit et de l’absence de traitement dans les délais exigés par le RGPD de plusieurs demandes d’exercice de droits.

 

La CNIL a également constaté un manquement au respect des droits prévus aux articles 15, 17 et 21 du RGPD et de l’article L34-5 du Code des postes et des communications électroniques. La société Carrefour France a en effet pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Elle n’a pas non plus procédé à l’effacement de données demandé par plusieurs personnes et n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique.

 

Enfin, la CNIL a constaté un manquement à l’obligation de traiter les données de manière loyale prévue à l’article 5 du RGPD. Il est important de noter que les sociétés Carrefour France et Carrefour Banque se sont mises en conformité lors de la procédure d’enquête de la CNIL, mais n’ont pas pour autant échappé à des sanctions administratives de la CNIL.

 

Ces sanctions conséquentes prononcées par la CNIL en raison des manquements précités viennent rappeler le pouvoir répressif considérable de la CNIL. En effet, en cas de non-respect des obligations résultant du RGPD, le président de la CNIL peut saisir la formation restreinte de la CNIL, qui après procédure contradictoire, est en charge de prononcer les sanctions administratives. Ces sanctions administratives peuvent être de différents ordres. Il peut s’agir d’une injonction de se mettre en conformité ou encore d’une amende administrative ne pouvant excéder 10 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

 

En outre, ces sanctions prises par la CNIL sont réellement dans la lignée de sa politique répressive. La CNIL hésite de moins en moins à sanctionner les entreprises en cas de manquement au RGPD. On constate ainsi que ces dernières années, les sanctions prononcées par la CNIL se sont multipliées. De plus, la CNIL n’hésite plus également à travailler en coopération avec d’autres autorités de contrôle européennes pour être plus efficace. La sanction prononcée par la CNIL d’un montant de 250 000 euros à l’égard de Spartoo en juillet dernier a justement fait l’objet d’un travail coopératif entre les différentes autorités de contrôle européennes.

 

Il convient enfin de noter que outre les montants importants des sanctions administratives prononcées par la CNIL qui peuvent avoir un effet sur la santé financière de la société, le choix de la CNIL de rendre ces sanctions publiques n’est pas sans conséquence sur l’image de marque renvoyée aux consommateurs, qui sont aujourd’hui de plus en plus sensibles et avertis sur ces sujets de protection de leurs données.

 

Ces sanctions prises à l’encontre des sociétés Carrefour France et Carrefour Banque illustrent donc parfaitement la nécessité pour les sociétés de ne pas laisser de côté des sujets comme la conformité au RGPD, qui peuvent avoir de lourdes conséquences notamment financières pour leurs sociétés.