Plus de 3 millions d’euros d’amende et la publication de décisions permettent de saisir la complexité de la politique de gestion des données personnelles des clients chez Carrefour France et Carrefour Banque. Depuis, leurs errements ont été corrigés. Marion Depadt-Bels, Avocat associé au Cabinet Gramond & Associés nous livre son analyse.
Les plaintes adressées par les personnes concernées à la Cnil sont devenues les principales sources de contrôle de cette autorité : 42 % des contrôles réalisés en 2019. C’est à la suite de plusieurs plaintes reçues par la Cnil concernant différentes entités du Groupe Carrefour que cette dernière a décidé, en avril et juin 2019, de diligenter une mission de vérification des traitements de données à caractère personnel mis en œuvre par ces sociétés.
Ces contrôles ont conduit la formation restreinte de la Cnil à prononcer, à l’encontre des sociétés Carrefour France et Carrefour Banque, le 18 novembre 2020, des amendes administratives d’un montant respectif de 2 250 000 euros et de 800 000 euros, et ce sans mise en demeure préalable.
A lire aussi : RGPD : 1 an après, tous conformes ?
La formation apporte des précisions intéressantes quant au raisonnement adopté pour retenir ces montants, notamment en précisant que l’assiette de l’amende doit prendre en compte non seulement le chiffre d’affaires réalisé par la société Carrefour France, mais également celui réalisé par les filiales qu’elle détient et qui ont bénéficié de ces traitements, ceci afin de s’assurer que l’amende a un caractère « dissuasif ».
Notons que ces sanctions sont prononcées en dépit du fait que les sociétés Carrefour ont réalisé d’importantes actions de conformité préalablement à l’ouverture de la procédure de sanction, qu’elles ont fait preuve d’une « parfaite coopération » pendant la procédure et qu’elles avaient, au jour des décisions, corrigé l’ensemble des manquements relevés.
A lire aussi : Comment rééquilibrer la relation consommateur – entreprise grâce au RGPD
Le prononcé de ces amendes administratives est par ailleurs assorti de la publication des délibérations correspondantes, avec mention du nom des sociétés pour une durée de deux ans.
Outre la gravité des manquements sanctionnés et le nombre de personnes concernées, la formation restreinte considère en effet que la publicité de ces décisions est le meilleur moyen, quand ce n’est pas le seul, d’informer les personnes concernées de l’existence passée de ces manquements. Les manquements retenus contre les sociétés Carrefour France et Carrefour Banque sont riches de rappels et d’enseignements – même s’ils suscitent pour certains quelques interrogations.
Constituent ainsi des manquements :
-
Eu égard aux obligations en matière de conservation des données :
– le fait de conserver les données de ces clients ou d’utilisateurs d’un site web marchand au-delà même de cette durée de quatre années, en raison d’un retard dans la mise en œuvre d’un programme d’effacement ;
-
Eu égard aux obligations en matière d’exercice des droits :
– le fait de demander de façon systématique un justificatif d’identité – en l’absence même de « doutes raisonnables » sur l’identité de la personne concernée ;
– le fait de conserver une copie de la pièce d’identité demandée dans le cadre de l’exercice de ses droits par une personne une fois la vérification d’identité réalisée ;
– le fait de ne pas répondre dans les délais légaux à des demandes d’exercice de droit, du fait d’une augmentation significative de ces demandes non suffisamment anticipée ;
– le fait de ne pas prendre en compte des demandes d’effacement. Notons que la commission rappelle à cette occasion que « (…) après une demande d’effacement, certaines données personnelles des clients peuvent être conservées, notamment au titre des obligations légales ou à des fins probatoires (…) » ;
-
Eu égard à l’obligation de loyauté :
– le fait de transmettre à une autre société du groupe plus de données à caractère personnel que celles pour lesquelles les personnes étaient informées du transfert ;
-
Eu égard aux modalités d’information des personnes :
La commission reproduit dans ce cadre un extrait des lignes directrices du G29 sur la transparence lesquelles précisent que « chaque entreprise disposant d’un site internet devrait publier une déclaration ou un avis sur la protection de la vie privée sur son site. Un lien direct vers cette déclaration ou cet avis sur la protection de la vie privée devrait être clairement visible sur chaque page de ce site internet sous un terme communément utilisé » ;
– le fait, dans le cas d’une information en plusieurs niveaux, de ne pas présenter l’ensemble des caractéristiques essentielles du traitement dans le 1er niveau d’information. La commission rappelle ici que ce 1er niveau d’information doit détailler la finalité du traitement, mentionner l’identité du responsable du traitement et décrire les droits des personnes concernées ;
-
Eu égard au contenu des mentions d’information des personnes :
– le fait d’utiliser des formulations peu claires, ambigües ou imprécises ou ne pas hiérarchiser et ordonner les informations. Une longue énumération portant sur les différents points de la réglementation ne permet pas à la personne concernée de trouver facilement l’information qu’elle cherche, la contraignant à lire l’ensemble des mentions d’information, et ne respecte dès lors pas l’exigence d’accessibilité ;
– le fait de ne pas identifier correctement le responsable du traitement parmi les différentes entités au sein du groupe, le fait de ne pas préciser la base légale applicable à chaque traitement, le fait de ne pas fournir la durée de conservation des données, le fait de ne pas mentionner les pays situés en dehors de l’Union européenne vers lesquels les données pouvaient être transférées ni les garanties encadrant ces transferts ;
-
Eu égard à la prospection commerciale par voie électronique :
– le fait d’intégrer dans un courriel de prospection un lien de désinscription renvoyant vers l’espace personnel du client sur le site marchand et d’envoyer ce courriel à des personnes ne disposant pas d’un compte client ;
-
Eu égard à la sécurité :
– le fait d’identifier une vulnérabilité technique (possibilité pour un tiers d’accéder à une facture via une URL fixe) et de ne déployer que la première des mesures palliatives identifiées (l’ajout d’une chaîne de caractères aléatoires) – alors que seule la mise en œuvre de la seconde mesure (la mise en place d’un mécanisme d’authentification préalable) permettait d’éliminer le risque ;
-
Eu égard à la notification des violations de données :
– le fait d’identifier une attaque informatique ayant abouti à des authentifications réussies et à des accès effectifs aux comptes de clients et de ne pas notifier ladite violation à la CNIL. La commission rappelle qu’en cas de violation de données à caractère personnel, le principe est celui de la notification à l’autorité de contrôle, l’absence de notification n’étant possible que par exemption lorsque la violation n’est pas susceptible d’engendre un risque pour les droits et libertés des personnes ;
-
Eu égard aux cookies :
Plus de deux années se sont écoulées depuis le début d’application du RGPD en mai 2018. L’un des objectifs de la CNIL est de « s’assurer que la protection des données entre définitivement dans les mœurs et la culture quotidienne des organismes publics et privés, condition impérative du succès du RGPD », comme le rappelait la présidente de la Cnil, Marie-Laure Denis, dans le rapport d’activité pour 2019.
À cet effet, il entre dans les missions de la Cnil d’accompagner les entreprises. Mais la Cnil est également investie de pouvoirs répressifs et dispose incontestablement, depuis l’adoption du RGPD, de moyens effectifs pour prononcer des sanctions dissuasives. Les décisions Carrefour démontrent, si besoin était, que la Cnil entend maintenant fermement assurer ce rôle répressif.