Par deux délibérations, la CNIL a sanctionné Carrefour France et Carrefour Banque à respectivement 2.250.000 euros et 800.000 euros pour violation aux obligations du RGPD concernant en particulier l’information délivrée aux personnes concernées et le respect de leurs droits.
Bien que la CNIL relève que Carrefour ait modifié ses pratiques pour se mettre en conformité pendant la procédure, les amendes s’expliquent par l’atteinte aux droits fondamentaux des personnes concernées et le volume important des données traitées.
Ce qu’il faut retenir dans les manquements reprochés :
- Une politique de confidentialité peu accessible (documents trop longs et information compliquée) et incomplète sur la durée de conservation des données et le transfert des données hors UE
- Des cookies publicitaires déposés sans consentement
- Une durée de conservation des données injustifiées (28 millions de clients inactifs depuis 5 à 10 ans) et la durée de 4 ans est excessive compte tenu de l’activité de grande distribution et des habitudes de consommation
- Une demande disproportionnée de justificatif d’identité pour l’exercice des droits des personnes concernées
- L’absence de réponse au droit d’accès ou au droit d’opposition
Emmanuelle BEHR
Avocate Associée