La CNIL vient d’infliger deux amendes de 800 000 et 2,25 millions d’euros à l’encontre respectivement de Carrefour Banque et Carrefour. Plusieurs manquements sont épinglés, avec en toile de fond, le RGPD. Explications.
En juillet dernier, Carrefour Banque, détenue pour 40 % par BNP PARIBAS et à 60 % par Carrefour S.A., avait subi un contrôle sur place et en ligne. « Ces missions avaient pour objet de vérifier, notamment, le respect, par la société, de l’ensemble des dispositions du [RGPD] et de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés » résume la CNIL.
Plusieurs pièces furent réclamées en particulier « le comptage du nombre de cartes Pass rattachées au programme de fidélité Carrefour. Suite à ces contrôles, plusieurs manquements ont été identifiés et déjà une violation du principe de loyauté.
Violation du principe de loyauté
Déjà, lorsqu’un souscripteur d’une carte de paiement veut adhérer au programme de fidélité, il doit cocher une case spécifique. Ceci fait, la demande d’adhésion est enclenchée. Problème, alors que Carrefour Banque s’engage à limiter les flux de données transférées à Carrefour France aux seuls nom, prénom et email, étaient également communiqués l’adresse postale, les numéros de téléphone et le cas échéant, le nombre d’enfants déclarés.
Carrefour a tenté d’éviter les foudres de l’autorité en avançant, selon le résumé de la délibération, que « la notion de loyauté n’étant pas définie dans le Règlement, le rapporteur ne saurait demander à la formation restreinte d’en sanctionner la violation ». Vainement.
Pédagogue et patiente, la CNIL lui a rappelé au contraire que le principe de loyauté était inscrit à l’article 5 paragraphe 1 a) du règlement. Parmi les 176 considérants, le n°60 prévient que « le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités ».
Ainsi, poursuit le texte européen, « le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées ».
Loupe en main, l’autorité juge la mention « à la fois imprécise et trompeuse ». D’ailleurs, le destinataire des données traitées n’était pas correctement renseigné (« Carrefour Banque mentionne Carrefour Fidélité comme destinataire des données communiquées alors même que ce service, rattaché à la société Carrefour France, n’avait, avant cette mention, jamais été présenté aux souscripteurs de la carte Pass »).
Manquement à l’obligation d’information
Autre point mis en exergue : un manquement à l’obligation d’information. Deux modes d’accès étaient prévus pour fournir aux personnes physiques lesdites informations :
- ou bien un clic « sur l’onglet Protection des données bancaires »
- ou bien un clic sur Mention Légale, suivi d’un autre clic sur un lien qui y était enfoui
Carrefour Banque s’est estimé « parfaitement fondée à insérer un lien renvoyant vers sa politique de confidentialité dans ses mentions légales et qu’en tout état de cause, cette information était fournie directement via l’onglet Protection des données bancaires figurant en pied de page du site ».
Un peu court selon la CNIL. D’une part, l’expression « protection des données bancaires » ne laissait pas présager que se trouvera derrière, une information sur la protection des données à caractère personnel. « En effet, pour le grand public, une part importante des données traitées (adresse, nombre d’enfants, etc.) ne relève pas des données bancaires ».
D’autre part, « s’agissant du second canal d’information, les utilisateurs du site carrefour-banque.fr ne pouvaient deviner d’eux-mêmes que le lien renvoyant vers la politique de confidentialité du site était inséré dans les mentions légales du site ».
La CNIL, aidée des lignes directrices du RGPD, rappelle que cette politique de données à caractère personnel doit être aisément accessible. « La personne concernée ne devrait pas avoir à rechercher les informations, mais devrait pouvoir tout de suite y accéder ». En somme, Carrefour Banque, comme tous les autres sites, se doit impérativement d’avoir un lien direct vers cette politique, sauf à être en indélicatesse avec le règlement.
Ce n’est d’ailleurs pas la première fois qu’elle tape sur les mains des acteurs. Déjà, dans sa décision « Google », elle avait déjà épinglé le chemin de croix nécessaire pour obtenir ces précieuses données, par un jeu de clics dans un arbre aux multiples branches.
Informations incomplètes, mauvaise politique de cookies
L’information n’était pas seulement difficilement accessible, elle était également incomplète. « Ainsi, la société ne précisait pas qu’elle archivait les données contractuelles pendant cinq ans, durée de la prescription légale applicable, en cas de contentieux ».
Même lacune pour les durées de conservation des cookies. Sur ces traceurs, la formation restreinte a relevé que trente et un cookies étaient déposés automatiquement « dès l’arrivée sur la page d’accueil du site et avant toute action de l’utilisateur ». Plusieurs d’entre-deux n’avaient pas pour finalité de faciliter la navigation sur le site ou d’être nécessaire à la fourniture du service en ligne (les cookies gid , _ga et _gat_trackerBanque , dits Google analytics, et les cookies MUIDB et GPS). « Le dépôt de ces cinq cookies aurait dû obliger la société à recueillir préalablement le consentement de l’utilisateur », ce qui n’était pas fait.
Des manquements corrigés, mais une sanction malgré tout
Si la CNIL affirme que Carrefour Banque a corrigé ces points depuis, elle a tenu compte de sa puissance financière et du nombre de personnes possiblement impactées. « La formation restreinte rappelle qu’en 2018 la société a réalisé un produit net bancaire de 308 millions d’euros et qu’en application des dispositions de l’article 83, paragraphe 5, elle encourt une sanction financière d’un montant maximum de 20 millions d’euros ».
Pour le cas présent, elle a décidé d’une amende de 800 000 euros, soit 0,25 % de ce produit net bancaire.
Carrefour Banque avait tenté d’empêcher la publicité de cette décision, au motif qu’une telle mesure « aurait des conséquences particulièrement dommageables en ce qu’elle risquerait d’affecter sa réputation de manière durable ».
Raté : « la publicité de la présente décision se justifie au regard de la gravité des manquements sanctionnés et du nombre de personnes concernées » lui a répondu la formation restreinte, qui prévient l’entité que la délibération sera anonymisée à l’expiration d’un délai de deux ans.
Le cas Carrefour France
La seconde délibération concerne spécifiquement Carrefour France. Un géant de la distribution (360 000 salariés, 80 milliards d’euros de C.A. et un résultat net de 905 millions d’euros). Entre 2018 et 2019, la CNIL avait reçu quinze plaintes de personnes. Les reproches étaient multiples : prospection commerciale malgré opposition, refus d’effacement ou d’accès aux données, etc. à partir de mai 2019, plusieurs contrôles furent initiés sur place et en ligne là encore. Et des manquements.
Par exemple, selon le RGPD, « les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Problème, Carrefour avait opté pour une durée de 4 ans, sachant que les compteurs étaient remis à zéro à chaque activité (« comme la dernière transaction avec passage de la carte fidélité en caisse d’un magasin, la dernière transaction en ligne, la dernière modification de l’espace personnel sur le site web de la société ou le dernier contact avec le service client »). Une durée jugée trop longue pour la Commission, qui se serait satisfaite de trois années.
De même, « la délégation de contrôle a constaté la présence de données concernant des clients inactifs depuis plus de quatre ans, et notamment plus de vingt-huit millions de clients membres du programme fidélité inactifs depuis cinq à dix ans ».
Des copies de cartes nationales d’identité
Carrefour conservait en outre des copies de cartes nationales d'identité, « pendant une durée pouvant aller d’un à six ans ». Ces cartes avaient été exigées pour l’exercice des droits. La CNIL « considère que, dès qu’il a été fait droit à la demande, la société n’a plus besoin de conserver une copie de la pièce d’identité du requérant »
Selon l’article 12 du règlement, un responsable de traitement doit faciliter l’exercice des différents droits reconnus aux personnes physiques. Toutefois, s’il a un doute raisonnable, il peut demander à ce que des informations supplémentaires soient transmises pour confirmer leur identité.
Problème, Carrefour demandait systématiquement un justificatif d’identité
Dans la même veine, la société pouvait mettre jusqu’à neuf mois pour répondre aux personnes concernées. « À titre d’illustration, la demande de suppression et d’opposition de Madame […] a été reçue le 4 juillet 2018. Le retrait de son consentement à la prospection publicitaire a été retranscrit en base de données le 15 avril 2019, soit plus de neuf mois plus tard ».
« Manque d’anticipation » lui répond en substance la CNIL, qui relève que l’entrée en application du RGPD allait nécessairement augmenter le nombre de ces demandes.
A pesé également dans la décision d’autres manquements. Des informations noyées dans un grand nombre de pages, des informations « dispersées et morcelées », « ni hiérarchisées, ni ordonnées ». Identiquement, la société utilisait des concepts vagues (« les traitements incluent notamment », « pour l’une ou plusieurs des raisons suivantes » ou « vos données sont susceptibles d’être utilisées », « dans certains cas »). Or, rappelle la CNIL, « l’information communiquée présente une importance capitale, puisque sa conformité conditionne la validité de l’engagement de la personne et sa volonté de permettre le traitement de données à caractère personnel par un responsable de traitement déterminé ».
D’autres phrases ont été jugées inutilement compliquées pour le profane. La CNIL cite ce merveilleux extrait : « vos données pourront peut-être transmises à tout ou partie des destinataires suivantes : […] les marques partenaires, mais dans ce cas ces derniers n’ont pas accès ni directement ni indirectement aux données vous concernant et seuls [sic] des données liées à votre profil sans qu’il soit possible de vous identifier directement ou indirectement, aux sociétés du groupe Carrefour pour les finalités susvisées ».
Des informations manquaient à l’appel comme l’indication de la base légale sur chaque traitement (contrat, consentement, intérêt légitime, etc.), les durées de conservation (ou les critères utilisés pour les établir), etc.
Autres manquements signalés, ceux relatifs à l’exercice des droits. Sur ce point, « si la société Carrefour France estimait que les demandes d’effacement étaient trop larges et qu’elle ne pouvait y faire droit sur le fondement d’un intérêt légitime supérieur ou parce que l’effacement n’était pas possible sur le fondement de l’article 17 du RGPD, il lui revenait de prendre l’attache des personnes concernées, ce qu’elle n’a pas fait en l’espèce ».
Un courrier de prospection, un lien de désinscription défectueux
Un courriel de prospection avait été adressé à 350 000 personnes. Problème, le lien de désinscription ne fonctionnait pas. Il « renvoyait vers l’espace personnel du site carrefour.fr permettant aux personnes disposant d’un compte client de se désinscrire ».
De même, « par erreur, des personnes ne possédant pas de compte client ont été ciblées par cette campagne de prospection. Lorsque ces personnes ont cliqué sur le lien de désinscription, il leur a été demandé, pour pouvoir se désinscrire, de se connecter à un compte client dont elles ne disposaient pas ».
La CNIL a rappelé que « les personnes ne disposant pas d’un compte client n’ont pas pu s’opposer simplement à l’utilisation de leurs données personnelles à des fins de prospection commerciale »
Manquement à l’obligation de sécurisation
Tout autant à l’index, l’obligation de sécurisation : « lors d’un achat sur le site carrefour.fr, une facture est mise à disposition du client sur son espace personnel après la livraison de la commande ou le retrait en magasin. Cette facture est accessible par une adresse URL fixe. Toute personne disposant de cette adresse peut accéder à la facture émise sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client ».
Un sparadrap efficace avait été imaginé par Carrefour en novembre 2018, à savoir l’authentification préalable obligatoire, mais il n’a été mis en place que trop tardivement aux yeux de l’autorité (le 17 juillet 2019).
Pas de notification d’une violation de données
Plus grave. Lors d’un contrôle effectué le 11 juillet 2019, il est apparu que « la société a identifié et consigné une attaque informatique dont elle avait été victime le 1er juillet 2019 ». Une attaque « utilisant le service d’authentification de l’application mobile du groupe, [qui] a pris la forme de 800 000 tentatives de connexion à partir de 10 000 adresses IP. Elle a abouti à 4 000 authentifications réussies et à 275 accès effectifs aux comptes de clients ».
Or, elle n’a pas été notifiée à la CNIL contrairement à ce qu’impose le RGPD, sauf dans l’hypothèse – non constatée ici – où la violation est peu susceptible d’engendrer un risque pour les personnes.
Ici encore la CNIL a constaté que l’ensemble des manquements avait été corrigé, que l’entreprise avait été coopérative. Toutefois, de l’autre côté de la balance, pèse l’ampleur des problèmes, consécutifs pour certains à des manquements structurels, comme ce « sous-dimensionnement des moyens engagés pour répondre aux demandes d’exercice de droit ».
Au final, elle inflige une amende de 2,25 millions d’euros à l’encontre de Carrefour France, outre la publicité de sa décision, s’agissant de problèmes concernant un très grand nombre de personnes.
Les deux entreprises peuvent attaquer cette décision devant le Conseil d’État.
Commentaires (27)
#1
C’est sympa de nous rappeler que de temps en temps, la CNIL est utile.
#1.1
Meme commentaire merci d’avoir pris le temps de rédiger cet article
#2
Cette décision de la CNIL est surtout l’une des premières à évoquer la réutilisation de certains cookies analytiques tels Google Analytics pour des finalités autres comme la synchronisation des données avec Google Ads (sur ce point une belle étude sur le partage d’identifiants est accessible ici).
#3
Oui surtout depuis le rgpd.
Avant ça elle était en état de mort cérébrale, et sans que cela ne soit de sa faute.
#4
Mais quelle poubelle ! On dirait du droit américain traduit avec google. “n’ont pas accès ni directement ni indirectement”, mais pourquoi le préciser alors ?
Lamentable, très bien que la CNIL sanctionne vu l’étendue des conneries.
#5
Exactement
Et en plus, tout ce charabia pour prendre une amende quand même. Comme quoi, ça vaut souvent la peine de payer des juristes pour écrire des choses le plus simplement possible. Et pas s’improviser…
#6
Voila un point sur lequel je suis fier de nos institutions.
Encore un petit effort et Google/Youtube sera condamné pour ses popups de consentement qui demandent de multiples clics et pages pour désactiver la collecte non-liée aux finalités du service proprement dit (la collecte et transmission pour des finalités annexe comme les pubs personnalisées sont activés par défaut).
#7
Sinon je trouve l’article sur le site de la CNIL vraiment très digeste (source: SebSauvage).
#8
Ceci est très important : cela signifie que toute plainte est utile, même si dans les faits la CNIL assure très mal le suivi un courrier postal (!) en accusé de réception, et souvent rien d’autre (plainte irrecevable, rappel à l’ordre,…). Donc ça donne l’impression que notre demande tombe dans un trou noir.
Mais en interne cela suit son cours, et contredit le discours ambiant “la CNIL ça sert à rien”. Cette actu est la preuve qu’il faut continuer à faire respecter nos droits, et militer pour que son budget soit augmenté, car plus d’agents = plus de dossiers instruits
#8.1
Perso j’ai toujours eu des retours ou des actions des différentes plaintes que j’ai soumises à la CNIL.
La seule fois où j’ai reçu un courrier c’était pour SFR-NC qui m’avait envoyé une communication commerciale malgré la demande de suppression des données et le retrait du consentement suite à résiliation. Sinon les autres résultats concrets que j’ai eu ont été des DPO qui se sont bougé le cul. Je pense à Foncia par exemple où je n’ai pas apprécié le fait que pour recevoir la communication opérationnelle du Syndic il fallait s’abonner à la communication commerciale. Après avoir contacté le DPO, pas de news dans le délai imparti par le RGPD. Deux jours après avoir déposé la plainte à la CNIL, j’ai eu un retour à mon mail comme quoi ils ont séparé les canaux de communication… (le troisième mail commercial non sollicité “vous vendez votre bien, contactez-nous” m’avait légèrement agacé)
La seule fois où je n’ai pas eu besoin de la CNIL, c’est parce que j’ai été voir en direct le DPO car c’était un client pour qui je bossais qui m’avait un peu irrité sur sa façon de ne pas considérer mon non consentement à la communication commerciale.
Pas besoin d’être méchant dans le cas présent, juste passer le voir, lui montrer mon compte client avec aucune case cochée pour les préférences de communication, le mail non sollicité reçu, et lui dire qu’il risque 4% du CA de son employeur.
#8.2
En général je n’ai même pas une réponse qui fait accusé de réception, “oups on s’est vautrés, promis on ne le fera plus (jusqu’à ce soir)”.
Donc à chaque fois, je fais la réclamation pile poil un mois après la demande. La réponse de la CNIL en reste souvent au courrier de confirmation postal.
Ou alors c’est la Poste qui se venge de ma plainte envers elle-même, pour qu’elle arrête de m’adresser les courriers des précédents résidents, qui ne sont plus là depuis 3 ans, avec leurs noms affichés nulle part (elle m’a répondu “obligation de délivrer”, mais alors à quoi sert le “n’habite pas à l’adresse indiquée” ?). Donc je suis au courant des abonnements de mes prédécesseurs, de leur religion, de leurs goûts “sociétaux” ou politiques (toutes ces organismes qui, au passage, devraient aussi arrêter ces envois après 3 ans sans réponse, plus personne ne paye l’abonnement pour cette adresse).
#8.3
ça m’est arrivé ça, pub caisse d’épargne pour les anciens proprio… qui n’habitaient plus la depuis 25 ans.. ils ont dut ressortir un vieux fichier client de sous les fagots pour faire de la prospection
#9
J’attend la même chose pour la banque Casino.
Je reçois des solicitations permanentes (des propositions cordiales de m’endêter chez eux), par courrier postal et par courriel.
Leur lien de désinscription ne fonctionne pas.
Sur leur site, il est absolument impossible de trouver une information concernant la fermeture du pseudo compte que j’ai chez eux. Et en magasin, ils ne s’occupent que des inscriptions.
#10
hoooo chuis content, j’avais gueulé contre le fameux lien de désabonnement qui demandait un compte client :)
j’ai plus la réponse du service conso, mais en gros ils disaient que c’était forcément une erreur de ma part puisque la base de mails venait des comptes carouf’. Comment j’y ai atterri (à l’époque), mystère…
#11
Yes, ça avance tout ça … Par contre, je me demande si 0,25% ça fait vraiment réfléchir les entreprises concernées :/
#11.1
L’article n’est pas très clair là dessus (il n’y a pas toutes les données pour la partie banque pour connaître le taux de marge), si c’est 0,25% du chiffre d’affaires (CA) ça peut faire mal.
En appliquant le même ratio au groupe Carrefour : 80 Mds de CA / 1 Mds de marge ça donne 1,25 % de marge du CA, avec une amende de 0,25% du CA ça veut dire une perte de 20% du bénéfice
#11.2
Je peux t’assurer que perdre des millions d’euros pour ne pas avoir changé la maillist ou ne pas avoir fait un delete MR.xxx sur la BDD commerciale, ça les embête énormément !
On parle de gens qui ne pensent qu’en bénéfices là. Merci à la CNIL de son boulot.
J’aimerais tellement être auditeur chez eux… Mais leur processus de recrutement il est tout caca.
#11.3
Coucou swiper :)
Tu ne veux pas tester à nouveau notre processus de recrutement ? On cherche toujours des auditeurs des systèmes d’information
L’offre d’emploi est sur notre site
#11.4
En vrai, j’ai déjà postulé pour 2 de vos annonces et je m’apprête à le refaire pour celle d’Ingénieur(e) en sécurité des systèmes d’information de santé, mais comme les deux autres fois je n’ai pu être informé du refus même de ma candidature, je suis perplexe.
Aurais-tu un moyen d’aider un Inpactien dans ce domaine ?
#12
“vos données pourront peut-être transmises à tout ou partie”
Euh en plus ce n’est même pas français comme expression, ça ne veut rien dire !
#12.1
Bah si tu tronques mal la phrase aussi.
Ça c’est français, même s’il y a une grosse faute d’orthographe…
#12.2
Mika a raison (mais a effectivement mal tronqué).
“vos données pourront peut-être transmises”
Avec ce mot et ce tiret, la phrase n’a aucun sens concret.
Les étoiles sont supposées produire du gras.
#12.3
Ah oui, j’avais pas capté le mot qui manque (saleté de cerveau qui complète les phrases tout seul
).
La répétition “peut-être être transmises” aura peut-être été supprimée par un correcteur automatique…
#12.4
“peut-être être transmises” aurait été correct d’après moi, comme l’a dit Winderly :)
Edit, en effet erreur reconnue ;)
#13
Si cela peux vous intéressez : https://www.enforcementtracker.com/
Je ne sais pas si tout est référencé.
#14
Parce que tu arrives à refuser quoi que ce soit avec google/youtue ?
A part créer un compte, le configurer pour refuser les pub personnalisée et y être connecté je ne vois pas comment faire.
#15
Vu qu’il y a au moins une bonne dizaine de clic, j’accepte (mais en mode navigation privée, donc je me retape à chaque fois ceux deux popups)