Vie des affaires
Données personnelles
Plus de 3 millions d'euros d'amende prononcée par la CNIL à l'encontre d'un grand groupe
Suite à plusieurs plaintes, la CNIL sanctionne deux filiales d'un grand groupe français du secteur de la distribution pour des manquements au règlement européen sur la protection des données. Retour sur les principales obligations des entreprises en matière de protection des données personnelles.
La CNIL, gendarme de la protection des données personnelles
Le règlement européen sur la protection des données (RGPD), entré en application en France depuis le 25 mai 2018, a pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles par des professionnels. Ce règlement prévoit que chaque autorité de protection des données d'un État membre (en France, la CNIL) peut réaliser des missions de contrôle à cette fin (RGPD, art. 51).
Ainsi, la CNIL peut effectuer des contrôles auprès de tout organisme français traitant des données personnelles de sa propre initiative ou parce qu'elle a été la destinataire de plaintes ou de signalements portant sur des faits dont la conformité au RGPD est remise en question (RGPD, art. 56).
Lorsque, lors d'un contrôle, la CNIL constate des manquements significatifs au RGPD, elle peut enjoindre à l'organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité. Elle peut également choisir de transmettre le dossier à sa formation restreinte, qui a le pouvoir de prononcer des sanctions pouvant aller jusqu'à 20 M € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial (RGPD, art. 83).
La CNIL, ayant été saisie de plusieurs plaintes à l'encontre d'un grand groupe français du secteur de la distribution, a récemment effectué des contrôles auprès de deux filiales du groupe. À cette occasion, elle a constaté des manquements au RGPD sur les sites Internet des filiales concernant le traitement des données de clients, ainsi que d'utilisateurs potentiels. La CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.
Les obligations des entreprises en matière de protection des données personnelles
Informer les personnes dont les données ont été collectées
Lorsque les données personnelles d'une personne sont collectées par une entreprise, celle-ci doit fournir, au moment de la collecte, un grand nombre d'informations à la personne concernée. Parmi ces informations, citons notamment : les finalités du traitement auquel sont destinées les données, la durée de conservation des données, le droit de demander l'accès aux données et la rectification ou l'effacement de celles-ci, ou encore le droit de s'opposer au traitement des données (RGPD, art. 13).
S'agissant des sites Internet des deux filiales, la CNIL a constaté que l'information fournie aux utilisateurs comme aux personnes désirant adhérer au programme de fidélité n’était ni facilement accessible (entre autres, du fait d'un accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible. En effet, l'information était rédigée en termes trop généraux et imprécis et les formulations employées étaient inutilement compliquées. Enfin, elle a relevé que l'information fournie aux utilisateurs ne contenait pas la durée de conservation des données.
Respecter les droits des personnes dont les données ont été collectées
Utilisation de cookies. La CNIL a, par ailleurs, constaté que, lorsqu’un utilisateur se connectait aux sites Internet des filiales, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part.
Pour mémoire, les cookies qui n'ont pas pour finalité exclusive de permettre une communication par voie électronique nécessaire à la fourniture d'un service de communication en ligne nécessitent le consentement préalable de l’utilisateur (Loi 78-17 du 6 janvier 1978, dite « Informatique et libertés », art. 82 ). Tel est le cas, notamment, des cookies liés aux opérations relatives à la publicité personnalisé.
Plusieurs cookies déposés sur le terminal des utilisateurs par les deux filiales servaient à la publicité. Le consentement de l'utilisateur aurait donc dû être recueilli avant le dépôt des cookies, ce qui n'a pas été le cas en pratique, comme l'a relevé la CNIL.
Limiter la durée de conservation des données. Les données personnelles doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, 1, e).
La CNIL a relevé qu'une filiale ne respectait pas la durée de conservation des données qu’elle s'était fixée (4 ans après le dernier achat du client). En effet, les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans étaient encore conservées dans le cadre du programme de fidélité. Par ailleurs, quand bien même la filiale aurait respecté la durée de conservation, la formation restreinte de la CNIL a considéré que cette durée était excessive car elle excédait ce qui apparaissait nécessaire dans le domaine de la grande distribution.
Faciliter l'exercice des droits de la personne concernée. L'entreprise doit faciliter l'exercice des droits de la personne dont elle a collecté les données personnelles (par exemple, le droit de demander la suppression des données collectées). L'entreprise ne peut refuser de donner suite à une demande, à moins qu'elle ne soit pas en mesure d'identifier la personne concernée. Pour donner suite à une demande, elle dispose en principe d'un mois, avec possibilité de prolonger ce délai de 2 mois en raison, notamment, de la complexité ou du nombre de demandes (RGPD, art. 12).
Une des deux filiales exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice des droits des utilisateurs. Selon la CNIL, cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la filiale n'avait pas été en mesure de traiter les demandes des utilisateurs dans les délais exigés par le RGPD. Enfin, la filiale n'avait pas donné suite à plusieurs demandes (elle n'avait, par exemple, pas procédé à l’effacement de données personnelles).
Pour l'ensemble des manquements retenus, la formation restreinte de la CNIL a prononcé à l'encontre de deux filiales deux amendes respectives de 2 250 000 € et 800 000 €.
CNIL, délibérations du 18 novembre 2020 nos SAN-2020-008 et SAN-2020-009 concernant les sociétés Carrefour Banque et Carrefour France
| Retourner à la liste des dépêches | Imprimer |
Date: 13/01/2026