La CNIL vient d’annoncer qu’elle a sanctionné le groupe Carrefour avec deux amendes de 800 000 € et de 2,5 millions d’euros pour des manquements observés aux règles du RGPD. Des sanctions qui devraient relancer le débat sur le rôle que doivent jouer les pouvoirs publics en matière de régulation du secteur du digital.
Selon la CNIL, le groupe Carrefour n’aurait pas respecté plusieurs pratiques en matières de protection des données au regard des règles du RGPD. La CNIL reproche à Carrefour un manquement à l’information des personnes sur le sites carrefour.fr et carrefour-banque.fr.
La Commission nationale de l’informatique et des libertés (CNIL) reproche notamment un manque de clarté de l’information. Selon la CNIL, l’information sur le site carrefour.fr, était insuffisante en ce qui concerne les transferts de données hors de l’Union européenne.
L’autre point majeur reproché à Carrefour est le manquement d’information relatif aux cookies. La CNIL a constaté que lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt précise la CNIL.
Les autres griefs sont liés à la durée de conservation des données des cartes de fidélité, à l’obligation de faciliter l’exercice des droits et à l’utilisation loyale des données.
Sur l’ensemble de ces points, la CNIL précise sur son site que le groupe Carrefour a procédé aux modifications nécessaires pour se mettre en règle avec la CNIL et donc la sanction de la CNIL ne se conjugue pas à une demande d’injonction de payer.
Avec le cas Carrefour, la CNIL reste dans l’exemple des sanctions éducatives, avec sans doute la volonté d’accélérer la mise en conformité au RGPD des entreprises françaises. Pour les entreprises dont le siège est ailleurs, notamment aux Etats-Unis, les procédures seront sans doute difficiles à faire exécuter.
En photo : Marie-Laure Denis, présidente de la CNIL ©DR