La CNIL, le gendarme français de l'Internet, a annoncé avoir sanctionné le groupe Carrefour pour une série de manquements en matière de RGPD. Le géant de la distribution a ainsi écopé de plusieurs amendes, concernant deux branches d'activités du groupe, pour un montant total de plus de 3 millions d'euros, a annoncé l'autorité dans un communiqué diffusé sur son site ce jeudi.

La première amende, la plus importante, (2,25 millions d'euros) concerne directement Carrefour France, son activité agroalimentaire et sa plateforme d'achats carrefour.fr. La seconde (de 800.000 euros) porte sur sa filiale bancaire, Carrefour Banque, qui propose aux clients de l'enseigne des crédits à la consommation, prêts personnels et autres cartes de fidélisation.

Gestion fautive voire "déloyale" des données clients

 « La CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels », explique l'autorité qui a effectué des contrôles entre mai et juillet 2019 auprès des sociétés concernées, à la suite de plaintes reçues par les utilisateurs des deux site du groupe.

Pour le groupe de distribution, tenu d'accélérer à grands pas sa digitalisation sous la pression des géants de la logistique tels Amazon, les griefs retenus par la CNIL sont nombreux, notamment des « manquements à l'obligation d'informer les personnes, manquements relatifs aux cookies, à limiter la durée de conservation des données, à l'obligation de faciliter l'exercice des droits, et à leur respect, et, enfin, un manquement à l'obligation de traiter les données de manière loyale», a listé la Commission nationale de l'informatique et des libertés.

Informations imprécises, formulaires labyrinthiques

Or, toutes ces dispositions, censées apportées de la transparence aux consommateurs, sont désormais encadrées par le RGPD européen. Mis en oeuvre en mai 2018, le Règlement général sur la protection des données impose à chaque entreprise ou organisation qui utilise des données personnelles de citoyens européens, de la TPE au grand groupe coté en Bourse, de recenser et justifier chaque traitement de ces données, en fonction « d'intérêts légitimes » encadrés par des exigences éthiques et de sécurité. En cas de non respect, l'entreprise risque une amende pouvant aller jusqu'à 4% de son chiffre d'affaires mondial.

Lire aussi : Le RGPD, une vraie révolution... lente au démarrage

Concrètement, si Carrefour s'est mis en conformité depuis le début de la procédure, comme le précise la CNIL, il est reproché au groupe d'avoir "utilisé parfois des formulations inutilement compliquées", de produire des contenus où "l'information était insuffisante".

Le consentement du client était régulièrement contourné

Pierre angulaire du règlement européen, le consentement n'était également pas toujours recueilli lorsqu'il s'agissait de récupérer les informations sur le comportement et le parcours en ligne de l'utilisateur (via les cookies).

Sur la conservation des données, une autre disposition phare, Carrefour était, là aussi, en faute : « Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750.000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans », détaille la CNIL.

En outre, Carrefour "n'a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles", tandis que, depuis, "la société s'est rapprochée de toutes les personnes concernées durant la procédure", ajoute l'autorité.

De même pour des SMS non désirés par les utilisateurs et dont le groupe n'a pas immédiatement tenu compte.

Enfin, la CNIL avait identifié des informations contradictoires sur des données que Carrefour Banque s'engageait à ne pas transmettre, un engagement qui n'était en réalité pas entièrement respecté.

"La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd'hui entièrement corrigées", a réagi Carrefour sur Twitter. Le géant de la distribution affirme également n'avoir retiré de ces pratiques "aucun avantage financier".

"Des défaillances passées et isolées"

"La décision de la Cnil concerne des défaillances passées et isolées. Elles sont aujourd'hui entièrement corrigées", a réagi Carrefour sur Twitter dans une déclaration citée par l'AFP. Le géant de la distribution affirme également n'avoir retiré de ces pratiques "aucun avantage financier".

Lancé dans une course à la digitalisation en pleine crise du Covid-19, le groupe a annoncé avoir réalisé un chiffre d'affaires mondial de 19,69 milliards d'euros au troisième trimestre, en hausse de 5,5% à changes constants, en baisse de 2,5% à changes courants.