La CNIL (Commission nationale de l’informatique et des libertés) à la suite de plusieurs contrôles effectués auprès des deux sociétés du groupe Français, Carrefour France (secteur de la distribution) et Carrefour Banque (secteur bancaire), a constaté de graves lacunes dans le traitement des données personnelles des clients et des prospects, les sanctionnant au moyen de deux lourdes amendes, respectivement de 2.250.000 euro et 800.000 euro, en raison des multiples violations établies par des dispositions du GDPR.
En particulier, la première violation constatée par le garant Français concerne les obligations d’information à fournir aux sujets de données conformément à l’article 13 du GDPR, puisque les utilisateurs des sites qui souhaitaient adhérer au programme de fidélisation ou à la carte de fidélité ne pouvaient pas facilement trouver les informations sur le traitement de leurs données personnelles, et en tout état decause, même une fois trouvés, les mentionnés ci-dessus étaient générales et inexactes.
En outre, il a été constaté qu’à l’ouverture des sites web différents, plusieurs cookies de profilage utilisés pour la publicité ciblée entraient automatiquement dans la mémoire de l’ordinateur de l’utilisateur même en l’absence de son consentement préalable.
Une autre violation établie par la CNIL concerneles périodes de conservation des données déclarées par Carrefour France mais jamais respectées, car les informations de plus de 28 millions de clients ont été stockées dans le cadre du programme de fidélisation inactif depuis plusieurs années (parfois même dix ans), et la même chose pour 750.000 autres utilisateurs du site qui, bien qu’inactifs depuis cinq à dix ans, n’avaient jamais été supprimés.
Même dans l’exercice des droits conformément à l’article 12 du GDPR, les sujets de données n’étaient pas du tout facilités, au contraire la pratique était de leur demander systématiquement un document d’identité pour toute demande qu’ils souhaitaient soumettre à Carrefour France, même lorsqu’il n’y avait aucun doute sur l’identité de la personne et donc en l’absence de raison justifiée.
De graves infractions ont également été constatées en ce qui concerne la rapidité du traitement des données conformément à l’article 5 du GDPR: en effet, lorsqu’une personne s’est abonnée à la carte de fidélité (qui sert également de carte crédit pour effectuer des achats), on lui a demandé de cocher une case indiquant qu’elle acceptait que Carrefour Banque communique son nom et son adresse e-mail à «Carrefour Loyauté», toutefois la CNIL s’est assuré que des données supplémentaires avaient effectivement été transmises, y compris l’adresse postale, le numéro de téléphone et même le nombre d’enfants du client.
Il existe des risques évidents pour les entreprises européennes et non européennes qui traitent les données des citoyens européens. L’évaluation des risques et l’adoption de mesures de sécurité organisationnelles et techniques appropriées sont de plus en plus nécessaires. Le respect des principes by design et privacy by défaut et de la reddition de comptes doit maintenant être considérés comme essentiels dans toutes les réalités de l’entreprise. Toutes les entreprises, afin d’éviter les sanctions prévues par le GDPR, doivent se doter de véritables modèles organisationnels pour la protection des données personnelles.