Carrefour sanctionné par la Cnil par 3 millions d’euros d’amende pour non respect du RGPD

Carrefour France et Carrefour Banque sont sanctionnés par la Cnil pour des manquements au RGPD. Carrefour France doit régler une amende de 2,25 millions d’euros et Carrefour Banque de 800 000 €.

De nombreux manquements au RGPD relevés

Carrefour est sanctionné pour de nombreux manquements. Cela concerne l’information des personnes, les cookies, l’obligation de limiter la durée de conservation des données, l’obligation de faciliter l’exercice des droits, le respect des droits et le traitement des données de manière loyale. La Cnil est intervenue à la suite de plusieurs plaintes contre Carrefour. A la lecture des manquements relevés contre Carrefour, on peut penser que de nombreuses entreprises françaises sont dans la même situation que le géant de la grande distribution et que la Cnil communique sur le cas de Carrefour dans une démarche pédagogique. Quant à certain reproches faits à Carrefour, comme le fait de proposer des documents inutilement compliqués, on se dit que la Cnil a du pain sur la planche si elle entend poursuivre toutes les entreprises dont les documents sont difficiles à comprendre. La Cnil souligne que Carrefour a consacré des efforts importants pour se mettre en conformité sur tous les manquements relevés durant la procédure.

L’information était rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées

Dans le détail,  l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible. L’accès à l’information était trop compliqué, dans des documents très longs contenant d’autres informations. De plus, l’information n’était pas facilement compréhensible. L’information était rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées. De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements des fichiers. Sur ce point, Carrefour a modifié les mentions d’information et les sites web durant la procédure de la Cnil pour se mettre en conformité.

Des cookies publicitaires déposés sans demande préalable

Côté cookies, la Cnil a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt. Carrefour a modifié durant la procédure, le fonctionnement de ses sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Carrefour France conservait les données de 28 millions de clients inactifs depuis plus de 5 ans dans son programme de fidélité

Autre point, Carrefour France ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de 28 millions de clients inactifs depuis cinq à dix ans étaient conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans. La Cnil considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive.

Cette durée de 4 ans initialement retenue par Carrefour, excède selon la Cnil ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. La Cnil souligne que pendant la procédure, Carrefour France a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Une demande systématique d’un justificatif d’identité inutile

La Cnil observe par ailleurs que Carrefour France exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits, déclare la Cnil.

Carrefour France n’a pas traité dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits

Par ailleurs, Carrefour France n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits. Sur ces deux points, Carrefour France a modifié ses pratiques durant la procédure. La société a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à 1 mois.

Carrefour France n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. Durant la procédure, la société s’est rapprochée de toutes les personnes concernées. Dans plusieurs cas, Carrefour n’avait pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.  Carrefour n’avait pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou par courrier électronique, notamment en raison d’erreurs techniques ponctuelles. Carrefour France s’est mis en conformité durant la procédure sur ce point également.

Carrefour Banque mentait sur les données transférées à Carrefour

Enfin, concernant le traitement loyal des données, lorsqu’une personne souscrivant à la carte Pass, qui est une carte de crédit pouvant être rattachée au compte fidélité de Carrefour,  souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que Carrefour Banque communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. Carrefour Banque indiquait explicitement qu’aucune autre donnée n’était transmise.

Des données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants

Or, la Cnil  a constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée. Sur ce point, Carrefour a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société Carrefour France.


La Cnil rappelle les différents articles du RGPD, de la loi informatique et libertés et du Code des Postes auxquels Carrefour a manqué. Il s’agit des manquements à l’obligation d’informer les personnes (article 13 du RGPD), des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés), d’un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD), d’un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD), d’un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques) et d’un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *