Spécialistes en droit de la propriété intellectuelle
Accueil > Actualités et médias > Blog propriété intellectuelle >Sanction de Carrefour au paiement d’une amende de €3M : cas d’école des mauvaises pratiques en matière de protection des données personnelles

Sanction de Carrefour au paiement d’une amende de €3M : cas d’école des mauvaises pratiques en matière de protection des données personnelles

07
DEC.
Par Florian VIEL - Blog propriété intellectuelle

Sanction de Carrefour au paiement d’une amende de €3M : cas d’école des mauvaises pratiques en matière de protection des données personnelles

 

Saisie de plusieurs plaintes entre juin 2018 et avril 2019, l’autorité de contrôle française (CNIL) a mis en œuvre son pouvoir de contrôle à l'égard des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE dans deux décisions remarquées du 18 novembre 2020.

 

Les contrôles ont révélé de multiples manquements au Règlement UE 2016/679 (RGPD) ainsi qu’à la loi Informatique et Libertés et au Code des postes des communications électroniques, qui ont amené l’autorité à prononcer une sanction pécuniaire de 2 250 000 euros à l’encontre de la société CARREFOUR FRANCE et de 800 000 euros à l’encontre de la société CARREFOUR BANQUE.

 

Les manquements reprochés à CARREFOUR sont constitutifs d’importantes inconformités au RGPD et ont ainsi permis à la CNIL de rappeler les grands principes fondamentaux de la protection des données personnelles suivants :

 

  • Conservation des données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (I-)
  • Traitement des données de manière licite, loyale, et transparente au regard de la personne concernée (II-)
  • Traitement des données de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (III-)
 

I. La nécessaire limitation de la conservation des données

 

Il est reproché à CARREFOUR la conservation disproportionnée des données relatives à ses clients, ayant notamment adhéré à des programmes de fidélité mais n’étant plus actifs, et également de la copie de leurs titres d’identité lors de l’exercice de leurs droits sur les données les concernant.

  • Les données personnelles relatives aux participants du programme fidélité inactifs

En premier lieu, la CNIL reproche à CARREFOUR de ne pas respecter les durées de conservation des données relatives à ses membres du programme de fidélité, traitées à des fins de prospection commerciale, que la société avait fixée à quatre ans à compter de leur dernière activité (dernière transaction ou dernière connexion).

 

Il est apparu que CARREFOUR conservait les données de plusieurs millions de membres inactifs, pour des durées allant de cinq à dix ans.

 

La CNIL rappelle que, pour déterminer une durée adéquate de conservation des données, il convient d’examiner la finalité du traitement ainsi que les spécificités du secteur d’activité du responsable du traitement.

 

Ce principe est d’autant plus applicable au secteur de la grande distribution que les clients ont l’habitude de retourner de façon régulière dans les mêmes magasins afin de réaliser leurs achats.

 

La CNIL invite à se référer à l’ancienne norme simplifiée n°48 et considère en l’espèce que la durée de conservation des données ne saurait excéder trois années à compter du dernier contact avec la société eu égard aux spécificités dudit traitement et du secteur d’activité du responsable du traitement.

 

Pour rappel, dans la décision SPARTOO du 28 juillet 2020 (CNIL v. SPARTOO SAS, 28 juillet 2020, SAN-2020-003), la CNIL avait alors considéré qu’une durée de conservation des données traitées à des fins de prospection commerciale fixée à deux ans apparaissait proportionnée au vu de la finalité du traitement.

  • Les données personnelles relatives aux participants du programme fidélité inactifs

Il est ensuite reproché à CARREFOUR de conserver les copies des cartes d’identité demandées aux personnes souhaitant exercer leurs droits sur les données les concernant (droit d’accès, d’effacement d’opposition...) pour une durée d’un à six ans, ce qui constitue une durée excessive de conservation des données au vu de la finalité de leur traitement.

 

Pour la CNIL, les copies des cartes d’identité n’avaient pas être conservées au-delà du traitement de la demande d’exercice de droit, la conservation du courrier de réponse favorable étant alors suffisant pour justifier des suites données à la demande.

 

II. L’indispensable licéité, loyauté et transparence dans les traitements de données

 

Il est reproché à CARREFOUR de ne pas respecter un certain nombre de droits des personnes 

  • Droit à une information accessible

La CNIL reproche à CARREFOUR de ne pas fournir aux utilisateurs des sites www.carrefour.fr et www.carrefour-banque.fr une information aisément accessible et en des termes clairs et simples, en application de l’article 12 du RGPD qui impose au responsable du traitement de communiquer une information “concise, transparente, compréhensible et aisément accessible, en des termes clairs”.

 

En effet, l’autorité relève que l’information relative au traitement des données est réalisée à plusieurs niveaux sur plusieurs pages distinctes, et notamment dans les conditions générales d’utilisation du programme de fidélité.

 

Cette information à plusieurs niveaux est possible, sous condition que :

 

-   Le premier niveau présente les caractéristiques essentielles du traitement ;

-   Le second niveau détaille l’ensemble des mentions relatives au traitement ;

-   L’information complète relative à l’ensemble des traitements réalisés sur le site demeure aisément accessible pour les internautes dans un document unique distinct des CGU/CGV.

 

La CNIL fait ainsi application des lignes directrices du G29 sur la transparence, et reprend des règles déjà bien établies, mais régulièrement ignorées par les éditeurs de sites internet.

 

Il est intéressant de souligner que, même si la CNIL ne l’a pas précisé expressément, il est constant que  cette politique de confidentialité doit elle-même être aisément accessible sur le site internet, et être traduite le cas échéant dans toutes les langues proposées sur le site (voir notamment APD c. Knops Publishing, 17 décembre 2019, DOS-2019-01356).

  • Droit à une information claire et complète

L’autorité reproche également à CARREFOUR l’insuffisance de clarté et de précision des informations communiquées aux internautes. Est ainsi recommandé l’utilisation d’un vocabulaire simple et d’éviter les termes juridiques ou techniques.

 

En effet cette information doit pouvoir mettre les personnes concernées en mesure de déterminer à l’avance la portée et les conséquences du traitement des données les concernant afin d’éviter qu’ils soient pris au dépourvu par le responsable du traitement (voir notamment Conseil d’État c. Google LLC, 19 juin 2020, n°430810), ce qui n’est pas le cas en l’espèce.

 

Dans cette affaire, outre le fait que l’information était insuffisamment compréhensible, cette information était incomplète à plusieurs titres, et en tout état de cause ne comprenait pas l’ensemble des mentions imposées par l’article 13 du RGPD.

 

Il est ainsi observé que les informations présentées sur le site auraient dû préciser de manière intelligible et transparente :

 

-        L’identité du responsable du traitement ;

-        La base juridique suffisamment précise des traitements ;

-      Les pays tiers destinataires des données ainsi que les garanties entourant le transfert ;

-        La durée de conservation de l’ensemble des catégories de données traitées.

 

Enfin, la CNIL constate que les internautes naviguant sur le site internet www.carrefour.fr n’étaient pas non plus informés de l’installation de cookies non fonctionnels sur leur navigateur (notamment Google Analytics), et ne pouvaient pas donner leur consentement à ces cookies.

 

Il est alors rappelé que le responsable du traitement est dans l’obligation d’informer correctement les internautes et recueillir leur consentement à l’utilisation de cookies dès lors qu’ils n’ont pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture du service.

  • Droit à exercer ses droits sans entrave

La CNIL conteste la pratique de CARREFOUR consistant à systématiquement demander communication d’une copie d'un titre d’identité aux personnes souhaitant exercer leurs droits sur les données les concernant.

 

Une telle pratique, entrave l’exercice du droit des personnes concernées, notamment en les dissuadant indirectement de déposer une telle demande.

 

L’autorité rappelle que l’exigence de communication d’une copie d’un justificatif d’identité devrait être strictement limitée aux situations où la société a “des doutes raisonnables quant à l’identité de la personne physique présentant la demande”.

 

Ainsi, sauf raison particulière, le responsable du traitement ne peut pas exiger de la personne concernée un justificatif d’identité (voir notamment VG Berlin 1, 31 août 2020, 1 K 90.19). 

 

Enfin, la CNIL reproche à CARREFOUR des retards chroniques dans le traitement des demandes d’exercice de droit.

 

Alors que le RGPD fixe un délai maximal de réponse à une demande d’exercice de droit sur des données à un mois sauf exception, il est relevé que CARREFOUR étendant ce délai de réponse jusqu’à neuf mois générant ainsi des conséquences pour les personnes concernées amenées à devoir relancer à plusieurs reprises le responsable du traitement.  

 

En tout état de cause, si le responsable du traitement décide de ne pas donner suite à la demande ou si un délai supplémentaire étendant le traitement de la demande à trois mois est nécessaire, la personne concernée aurait dû en être informée sans délai (voir notamment ANSPDCP c. Viva Credit,  30 juillet 2020).

  • Droit d’accès et à l’effacement des données

Saisie d’une plainte portant spécifiquement sur un manquement potentiel de CARREFOUR au traitement d’une demande de droit d’accès des données au motif que la personne concernée n’est pas informée de l’origine des données traitées par le responsable du traitement, la CNIL indique qu’en cas de fusion acquisition d’une société, les données initialement traitées par la société absorbée doivent être considérées comme indirectement collectées par la société absorbante.

 

Dans ces conditions, l’autorité reproche à CARREFOUR de ne pas avoir informé le plaignant de l’origine des données traitées le concernant.

 

Cela implique donc une attention particulière sur l’organisation des bases de données des sociétés absorbées par les sociétés absorbantes, qui doivent pouvoir distinguer l’origine des données.

 

Enfin, la CNIL constate de multiples manquements au droit à l’effacement des données des personnes concernées et dont les données n’étaient pas complètement effacées des bases de données du responsable du traitement.

  • Droit à l’opposition au traitement des données à des fins de prospection

Alors que le droit d’opposition au traitement des données à des fins de prospection commerciale ne connaît aucune exception, la CNIL relève que CARREFOUR n’a pas été en mesure de donner suite à plusieurs demandes.

 

L’autorité rappelle que le responsable du traitement doit offrir un moyen aux personnes concernées d’exercer leur droit d’opposition au traitement des données à des fins de prospection, et que ce droit doit être systématiquement pris en compte.

 

Concernant plus spécifiquement la prospection par voie électronique, la CNIL constate que les emails de prospection ne permettaient pas aux destinataires de s’opposer directement au traitement des données les concernant pour une telle finalité, mais les renvoyaient vers la page de connexion à leur compte client.

 

En application de l'article L34-5 du Code des postes et des communications électroniques, l’autorité indique que CARREFOUR était dans l’obligation d’offrir systématiquement aux destinataires de ses courriels de prospection un moyen simple et effectif de se désabonner de la liste de diffusion, en particulier par la mise en place d’un lien de désinscription unique.

 

III. L’incontournable intégrité et confidentialité des données

 

La CNIL constate lors de ses contrôles à distance l’accessibilité au public de données à caractère personnel sur le site www.carrefour.fr, et notamment à des factures de clients, sans authentification ou connexion au compte client.

 

L’absence de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque, et notamment en l’espèce à un accès non autorisé auxdites données, constitue une violation manifeste de l’article 32 du RGPD qui impose une obligation générale de sécurité des données à la charge du responsable de traitement (voir notamment ICO c. Mariott International, 30 septembre 2020, COM0804337).

 

L’autorité fait de plus grief à CARREFOUR de ne pas avoir mis en place de mesures de correction nécessaires à la protection des données traitées sur son site internet, après avoir été notifié de cette faille de sécurité.

 

L’autorité considère en l’espèce que la mise en place d’une authentification préalable obligatoire constitue la seule mesure permettant d’empêcher complètement le risque d’accès non autorisé aux données.

 

Il est précisé qu’en application de l’article 33 du RGPD, toute violation de données à caractère personnel dès lors qu’elle engendre un risque pour les droits et les libertés des personnes concernées, doit être notifié par principe à l’autorité de contrôle (voir notamment, UODO c. U. Sp. z o. o., 12 novembre 2020, DKN.5101.25.2020).

 

Or, la CNIL constate la décision prise par CARREFOUR de ne pas notifier une violation de données ayant affecté 275 de ses clients dont l’analyse des risques révèle manifestement que la violation n’amène pas à faire application de l’exception à l’obligation de notification eu égard à l’origine malveillante de la violation. 


***

 

Cas d’école appliquant des règles déjà solidement établies au sein des États membres, la décision de la CNIL rappelle aux acteurs de la donnée que le respect des principes les plus fondamentaux du droit des données personnelles, et notamment du RGPD, n’est pas une option.

 

A défaut, l’entière coopération avec l’autorité de contrôle ne permettra pas au responsable du traitement d’échapper à sa sanction, mais seulement d’en réduire hypothétiquement son montant et d’en limiter l’impact réputationnel.

 

Pour rappel, le chiffre d’affaires de la société retenu par la CNIL étant de 14,9 milliards d’euros, la sanction prononcée eu égard aux manquements relevés aurait pu être autrement conséquente et atteindre 3 milliards d’euros.


    Aucun commentaire
styloLaisser un commentaire