BFM Business

Données personnelles: Carrefour lourdement sanctionné d'une amende de 3 millions d'euros

Carrefour France et Carrefour Banque ont tous deux été sanctionnés.

Carrefour France et Carrefour Banque ont tous deux été sanctionnés. - Sia Bambou / AFP

La Cnil a respectivement infligé des amendes de 2,25 millions et 800.000 euros à Carrefour France et Carrefour Banque, en raison de manquements concernant le traitement des données des clients et utilisateurs potentiels de leurs services.

Le gendarme français des données personnelles, la Cnil, a infligé une amende de 3 millions d'euros à deux sociétés du groupe de grande distribution Carrefour, pour avoir enfreint les règles européennes sur les données personnelles, a-t-elle annoncé jeudi.

Saisie de plusieurs plaintes et après avoir effectué des contrôles entre mai et juillet 2019, "la Cnil a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels", écrit la Commission dans un communiqué publié sur son site.

Carrefour France devra s'acquitter d'une amende de 2,25 millions d'euros, et Carrefour Banque de 800.000 euros. Aucune injonction n'a été prononcée, le régulateur ayant depuis "constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés".

Des défaillances "passées et isolées"

"La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd'hui entièrement corrigées", a réagi Carrefour sur Twitter. Le géant de la distribution affirme également n'avoir retiré de ces pratiques "aucun avantage financier".

Dans le détail, la Cnil reproche à Carrefour de n'avoir pas informé suffisamment les utilisateurs de ses sites et les clients inscrits à son programme de fidélité sur la durée de conservation et les traitements, dont beaucoup était de plus irréguliers, appliqués à leurs données personnelles.

Le régulateur a constaté que des "cookies" (à savoir des traceurs) servant à la publicité étaient déposés lors d'une connexion sur le site avant que le consentement de l'utilisateur ne soit obtenu, comme l'impose pourtant le Règlement général sur la protection des données (RGPD) entré en application en mai 2018.

Carrefour Banque a également communiqué au programme de fidélité de l'enseigne de distribution l'adresse postale, le numéro de téléphone ou le nombre d'enfants de personnes souscrivant à une offre de crédit, alors qu'elle "indiquait explicitement qu'aucune" de ces données ne serait transmise. L'entité a depuis revu ses pratiques et son parcours de souscription en ligne pour éviter une telle rétention de données.

E.T. avec AFP