La Cnil prononce une sanction de 2 250 000 euros à l'encontre de Carrefour France et de 800 000 euros à l'encontre de Carrefour Banque
La formation restreinte de la Commission nationale de l’informatique et des libertés (ci-après « Cnil ») a sanctionné les sociétés Carrefour France et Carrefour Banque pour manquements à des obligations prévues par le Règlement général sur la protection des données (ci-après « RGPD ») :
-
2 250 000 euros à l’encontre de Carrefour France ;
-
800 000 euros à l’encontre de Carrefour Banque,
le montant cumulé de ces amendes s’élevant ainsi à 3 050 000 euros.
Ces amendes font suite à quinze plaintes de particuliers reçues par la Cnil entre juin 2018 et avril 2019 à l’encontre des sociétés. Ces plaintes concernaient pour la plupart des demandes d’effacement des données, des demandes d’accès aux données ainsi que de désabonnement à la prospection commerciale non pris en compte par les sociétés.
Suite à ces plaintes, la Cnil a effectué entre mai et juillet 2019 un contrôle en ligne et 4 contrôles sur places à l’égard de Carrefour France. En ce qui concerne la société Carrefour Banque, un contrôle en ligne et un contrôle sur place ont été réalisés.
C’est la raison pour laquelle 19 mois se sont écoulés entre les contrôles opérés par la Cnil et le prononcé des sanctions.
En effet, la Cnil a le pouvoir d’opérer des contrôles auprès de tous les organismes qui traitent des données à caractère personnel.
En 2019, la Cnil a ainsi procédé à 300 contrôles dont 169 contrôles sur place, 53 contrôles en ligne, 45 contrôles sur pièces et 18 auditions sur convocation.
Carrefour Banque : manquement à l’obligation de traiter les données de manière loyale
La Cnil a estimé que la société Carrefour Banque a manqué au principe de loyauté prévu à l’article 5-1 a) du RGPD, en transmettant à la société Carrefour France des données à caractère personnel (tels que l’adresse postale et le numéro de téléphone) qui n’étaient pas collectées lors de la souscription en ligne de la carte Pass dans le cadre du programme de fidélité de cette dernière.
Carrefour France : manquement à l’obligation de conserver les données pour une durée limitée
La Cnil a reproché à la société Carrefour France « d’avoir fixé des durées de conservation excédant les durées nécessaires aux finalités des traitements ». En effet, Carrefour France semblait avoir prévue de conserver les données en question pour une durée de 4 ans après le dernier achat du client, mais en pratique les données de millions de clients inactifs semblent avoir été conservées depuis de nombreuses années (entre 5 à dix ans) dans le cadre du programme de fidélité.
La Cnil constate que la durée de conservation fixée dans le secteur de la grande distribution est de 3 ans.
La Cnil estime alors que la durée théoriquement prévue par la société, à savoir 4 ans après le dernier achat d’un client, apparaissait en tout état de cause « excessive » au regard de ce « qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers » (communiqué de la Cnil en date du 26 novembre 2020).
La société Carrefour France a indiqué avoir commencé avant les contrôles de la Cnil à « réduire » les durées de conservation des clients inactifs. Ainsi les données des personnes concernées semblent avoir été supprimées lorsque la durée de conservation a été dépassée.
Carrefour France et Carrefour Banque : manquement à l’obligation d’informer les personnes sur le traitement de leurs données
La formation restreinte de la Cnil a estimé que les sites internet des sociétés Carrefour France et Carrefour Banque ne répondaient pas aux exigences prévues à l’article 13 du RGPD.
Cet article relatif aux « informations à fournir lorsque des données à caractère personnel sont collectés » prévoit qu’un certain nombre d’informations doivent être communiquées à la personne concernée au moment de la collecte de ses données telles que l’identité et les coordonnées du responsable du traitement, la durée de conservation des données à caractère personnel ou encore les coordonnées du délégué à la protection des données lorsque ce dernier a été désigné.
En pratique, un minimum d’informations doit se trouver en dessous de chaque formulaire de collecte de données personnelles, et la totalité des informations prévues à l’article 13 du RGPD doit figurer dans une politique de confidentialité, accessible par un lien en bas de chaque page d’un site internet.
En l’espèce la Cnil a considéré que les informations fournies aux utilisateurs des sites des deux sociétés ainsi que les informations fournies aux adhérents du programme fidélité n’étaient « pas facilement accessible » « ni facilement compréhensible » (communiqué de la Cnil en date du 26 novembre 2020). L’accès à l’information a été jugé « compliqué » et « imprécis », d’autant plus que, pour la société Carrefour France, il a été relevé que l’information n’était pas suffisamment détaillée sur le transfert de données en dehors de l’Union Européenne.
Manquements au respect des droits des personnes
-
Carrefour France et Carrefour Banque : manquement à l’obligation de faciliter l’exercice des droits
La Cnil a indiqué que la société Carrefour France « exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit » (communiqué de la Cnil en date du 26 novembre 2020).
La Cnil estime que ces demandes n’étaient pas justifiées, d’autant plus qu’elles étaient systématiques alors même qu’il n’y avait pas de doute sur l’identité des personnes exerçant leurs droits.
De plus lorsque des demandes d’exercice de droit étaient formulées à la société Carrefour France, cette dernière n’a pas été en mesure de répondre dans les délais (à savoir 1 mois maximum pour une demande simple ; 3 mois maximum pour une demande complexe et 8 jours maximum pour des données de santé - article 12. 3 RGPD et article 1111-7 du Code de la santé publique).
Concernant la société Carrefour Banque, la Cnil a également considéré que l’information mise à disposition de sa clientèle n’était pas suffisamment accessible.
A titre d’exemple la Cnil a indiqué que « l’intitulé de l’onglet Protection des données bancaires » était trop imprécis car il ne permettait pas « aux personnes concernées de comprendre aisément qu’en cliquant sur ce lien elles allaient être redirigés vers la politique de confidentialité du site, comportant les informations relatives au traitement de leurs données à caractère personnel ».
-
Carrefour France : manquement au droit d’accès des personnes concernées
L’article 15 du RGPD dispose que chaque personne a le droit d’obtenir l’origine des données personnelles traitées par les responsables du traitement. Par exemple, chaque personne a le droit de savoir comment ses données personnelles ont été collectées.
La société Carrefour France a reçu des demandes de personnes recevant des mails de prospection alors qu’elles n’avaient pas communiqué leurs coordonnées à la société. Ces individus ont alors formulé des demandes auprès de la société afin de savoir où et comment leurs données personnelles avaient été collectés. Il s’est avéré que leurs coordonnées avaient été collectées par une autre société du nom de « OOSHOP », qui a par la suite fusionnée avec Carrefour.
La formation restreinte a considéré que la fusion de « OOSHOP » avec la société Carrefour France ne lui donnait pas « la qualité de primo-collectant des données à caractère personnel », mais qu’il s’agissait, au contraire, d’un cas de collecte indirecte.
Il a été indiqué que la Société Carrefour France « s’est rapprochée de toutes les personnes concernées durant la procédure », afin de leur communiquer ces informations.
-
Carrefour France : manquement au droit à l’effacement
L’article 17 du RGPD dispose que, dans les conditions de cet article, chaque personne a le droit à l’effacement de ses données personnelles, si elle en fait la demande.
Plusieurs plaignants ont demandé à la société Carrefour France l’effacement de leurs données à caractère personnel. Dans un premier temps, la société n’a pas procédé à cet effacement, toutefois, au cours de la procédure « la société a fait droit à toutes les demandes ».
-
Carrefour France : manquement au droit d’opposition
Plusieurs plaignants ont demandé de ne plus recevoir de la publicité par SMS ou email de la part de Carrefour France.
En effet, l’article 21 du RGPD dispose que toute personne « a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.»
Or, la Cnil révèle que les demandes formulées par les plaignants n’ont pas été retranscrites dans les bases de données de la société Carrefour France et n’ont pas été prises en compte.
Toutefois « la société s’est mise en conformité durant la procédure sur ce point également ».
Manquements aux obligations de sécurité
-
Carrefour France : manquement au principe de sécurité du traitement
L’article 32 du RGPD dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
La Cnil indique que la société Carrefour France, après avoir eu connaissance de l’existence d’une vulnérabilité sur son site web, n’a pas « mis en place les mesures nécessaires à la protection des données à caractère personnel qu’elle traite ».
La Cnil a constaté que lors d’un achat sur le site de la société Carrefour France, les factures liées à cet achat étaient « accessibles par une adresse URL fixe ». Ainsi toutes les personnes qui disposaient de cette adresse URL fixe pouvaient avoir accès « à la facture émise sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client ».
La formation restreinte constate cependant que la société a mis en place une authentification obligatoire pendant le contrôle et cela depuis le 17 juillet 2019.
-
Carrefour France : manquement à l’obligation de notification à l’autorité de contrôle en cas de violation de données à caractère personnel
La Cnil a révélé que la Société Carrefour France avait été victime « d’une attaque informatique » en juillet 2019 à la suite de nombreuses tentatives de connexion à partir des adresses IP de clients de la société. Ces tentatives ont abouti « à 4 000 authentifications réussies et à 275 accès effectifs aux comptes de clients ».
L’article 33 du RGPD dispose en ce sens que :
« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
La société Carrefour ne semble cependant pas avoir notifié cette attaque informatique à la Cnil ; elle s’est justifiée en indiquant qu’aucun préjudice n’a été subi par les personnes concernées car aucun point de fidélité n’aurait été soustrait, qu’ainsi « la violation était peu susceptible d’engendrer un risque pour les droits et libertés des personnes ».
La Cnil a estimé que la société a ainsi manqué à son obligation de lui notifier la violation de données dans le délai fixé à l’article 33 du RGPD, dont elle ne pouvait s’exonérer en l’espèce.
Carrefour France et Carrefour Banque : manquements relatifs à la réglementation sur les cookies prévus à article 82 de la loi informatique et libertés
La Cnil a relevé que des cookies étaient automatiquement déposés dans le terminal des visiteurs des sites internet des sociétés Carrefour France et Carrefour Banque.
Certains de ces cookies servaient à envoyer de la publicité ciblée aux utilisateurs sans recueillir leur consentement au préalable, comme la réglementation sur les cookies l’exige.
En effet un certain nombre de règles sont à respecter dans le dépôt et l’utilisation de cookies.
Dans son délibéré, la Cnil rappelle que l’article 82 du RGPD « impose que les utilisateurs soient informés et que leur consentement soit recueilli avant toute opération d’accès ou d’inscription à des informations déjà stockées dans leur équipement. Tout dépôt de cookie ou autre traceur doit donc être précédé de l’information et du consentement des utilisateurs ».
La Cnil indique que « les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord » (communiqué de la Cnil en date du 26 novembre 2020).
Carrefour France : manquement aux dispositions de l’article L34-5 du Code des postes et des communications électroniques
Bien que bon nombre de sociétés pensent que les règles en matière de prospection commerciale sont une nouveauté du RGPD, il est important de noter que ces dispositions sont en réalité bien antérieure au RGPD, et figurent dans le Code des postes et des communications électronique.
La Cnil a révélé que le dispositif mis en place par la société Carrefour France en matière de prospection commerciale ne permettait pas aux personnes ne disposant pas d’un compte client de s’y opposer.
En effet, l’un des plaignants a indiqué à la Cnil avoir reçu de la prospection commerciale par mail alors qu’il ne disposait pas d’un compte client, mais que sans compte client, il ne pouvait s’y opposer.
L’article L.34-5 du code des postes et des communications prévoit qu’il doit être proposé aux destinataires de ces emails « un moyen simple et effectif ».
L’amende administrative prononcée par la Cnil
-
Le principe de l’amende : sanction administrative
Suite aux contrôles de la Cnil, la formation restreinte de la Cnil peut prononcer des sanctions à l’égard de toutes sociétés, entreprises ou organismes ne respectant pas la réglementation sur les données personnelles.
L’amende administrative constitue l’une de ces sanctions.
-
L’assiette de l’amende
Le montant des sanctions pécuniaires prononcées par la Cnil peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, conformément à l’article 83-5 du RGPD. Ces amendes ont un caractère dissuasif et doivent être proportionnées au regard des manquements constatés.
La formation restreinte de la Cnil a considéré que le chiffre d’affaires des filiales de la société Carrefour France devait être intégré dans le calcul de l’assiette de sa sanction.
Ainsi le montant servant de base au calcul de l’assiette de l’amende de Carrefour France est de 14,9 milliards d'euros, correspondant au chiffre d’affaires de la Société Carrefour France et de ses filiales en 2019.
-
L’aggravation ou l’atténuation l’amende
L’article 83 du RGPD pose « les conditions générales pour imposer des amendes administratives ».
Le paragraphe 1 de cet article dispose à cet effet que « Chaque autorité de contrôle veille à ce que les amendes administratives imposées [.] soient, dans chaque cas, effectives, proportionnées et dissuasives », tout en précisant au paragraphe 2 que « [.] Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:
[.]
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; »
Le considérant 148 du RGPD, prévoit par ailleurs que :
[.] Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. [.]
Dans son délibéré, ainsi que dans son communiqué, la Cnil a rappelé à de nombreuses reprises que les sociétés Carrefour France et Carrefour Banque ont lors du contrôle modifié leurs pratiques afin de se mettre en conformité avec le RGPD et ainsi répondre aux exigences de la réglementation sur les données et, par conséquent, de la Cnil.
La Cnil considère en l’espèce que le prononcé d’une injonction de se mettre en conformité sous astreinte (somme à payer jusqu'à ce que la société soit en conformité) n’est pas justifié puisque les sociétés ont corrigé l’ensemble des manquements qui leurs étaient reprochés.
En effet, à titre de sanction la Cnil peut être amené à enjoindre les responsables concernés de se mettre en conformité au RGPD, et ceci dans un délai imparti et sous astreinte.
Toutefois la Cnil a estimé qu’au vu des nombreux manquements constatés, une sanction administrative devait tout de même être prononcée.
Cette sanction doit néanmoins apparaitre proportionnée selon la Cnil, au regard des éléments ci-avant exposés.
-
Carrefour Banque
Ainsi et en application des dispositions prévues à l’article 83 paragraphe 5 du RGPD la société Carrefour Banque encourait une sanction financière d’un montant maximum de 20 000 000 d’euros ou de 4% du chiffre d’affaires annuel de l’entreprise (lequel s'élevait en 2018 à 308 000 000 d’euros net bancaire), soit de 12 320 000 euros, le plus élevé de ces montant étant retenu comme plafond.
Toutefois au regard du comportement de la société lors des contrôles, la formation restreinte de la Cnil a estimé qu’une amende de 800 000 euros, soit 0,25% du chiffre d’affaires de la société, apparaissait « effectif, proportionné et dissuasif ».
-
Carrefour France
Concernant Carrefour France, bien que le pourcentage de l’amende prononcée n’ait pas été communiqué, on peut toutefois relever que ce montant représente bien moins de 4% du chiffre d’affaires de la société et de ses filiales, car 4% de 14,9 milliards (l’assiette de calcul retenue en l’espèce) équivaut à environ 596 000 000 euros.
L’amende prononcée à l’encontre de Carrefour France s’élevant à 2 250 000 euros, et l’assiette de calcul retenue pour cette amende étant de 14,9 milliards d’euros, on constate alors que l’amende prononcée à l’encontre de Carrefour France équivaut à 0,015 % du chiffre d’affaires de la société et ses filiales.
La publication de la décision
Malgré les demandes des sociétés Carrefour France et Carrefour Banque, la Cnil a décidé de rendre publiques les deux délibérations.
En effet, la Cnil estime qu’« au regard de la gravité des manquements sanctionnés et du nombre de personne concernées », les décisions devaient être rendues publiques, prérogative dont elle dispose.
La Cnil considère que la publication de ces décisions « permettra d’informer l’ensemble des clients et des prospects potentiels de la société de l’existence de différents manquements sanctionnés et notamment des manquements à la déloyauté et aux cookies ».
S’agissant du caractère disproportionné (de la publication des délibérations) qui a été soulevé par les deux sociétés, la Cnil estime que « la mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».
Le pouvoir de sanction de la Cnil
Ces sanctions s’inscrivent ainsi dans les prérogatives de la Cnil, qui a le pouvoir de prononcer des amendes administratives à l’encontre des sociétés ne respectant la réglementation sur les données à caractère personnel.
A ce titre et en 2019, la Cnil a prononcé 8 sanctions dont 7 amendes d’un montant total de 51 370 000 euros.
Bon nombre de sociétés ne sollicitent un accompagnement juridique qu’une fois que la Cnil se trouve à leur porte.
Toutefois, et comme le montrent ces délibérations, n°SAN-2020-008 et n°SAN-2020-009 du 18 novembre 2020, cet accompagnement n’empêche pas la société d’être condamnée au paiement d’une amende au titre d’une sanction administrative, malgré les corrections apportées pendant ce contrôle, lorsque cet accompagnement arrive trop tard.
Par Debora Cohen - 3 décembre 2020