A la suite de plusieurs plaintes reçues par la Cnil à l’encontre du groupe Carrefour, cette dernière a procédé à des contrôles sur place et en ligne, entre mai et juillet 2019, auprès des sociétés Carrefour France et Carrefour Banque.
Par deux délibérations en date du 18 novembre 2020, la formation restreinte de la Cnil a condamné Carrefour France et Carrefour Banque au titre des manquements présentés ci-dessous.
Manquements relatifs à l’obligation d’information des personnes concernées
La Cnil relève que l’information fournie aux personnes concernées s’agissant du traitement de leurs données à caractère personnel est difficilement accessible sur le site internet des sociétés concernées.
En particulier :
- sur le site internet de Carrefour Banque, il apparaît de telles informations figurent sur une page accessible en cliquant sur l’onglet « Protection des données bancaires », dont l’intitulé a été considéré trop imprécis pour la Cnil car en pratique cette rubrique concernait le traitement des données à caractère personnel de manière générale, et pas seulement des données bancaires. Il est également possible pour les internautes d’accéder à ces informations en cliquant sur un lien présent dans la rubrique « Mentions légales », ce qui selon la Cnil n’est pas intuitif pour les internautes et nécessite plusieurs actions de la part de ces derniers avant de pouvoir accéder à ces informations. En outre, la mention d’information « allégée » sur le formulaire de souscription en ligne ne renvoie pas à une mention d’information complète, ce qui ne répond pas non plus aux exigences en matière d’information des personnes concernées ;
- sur le site internet de Carrefour France, la multiplicité de pages à consulter, la présence de différents liens à suivre, ainsi que la redondance de certaines informations dispersées et morcelées entre plusieurs supports ne permettent selon la Cnil pas de répondre à l’exigence d’accessibilité de l’information à fournir. A titre d’illustration, la Cnil considère que les informations relatives au traitement de données à caractère personnel mis en œuvre par Carrefour France dans le cadre du programme de fidélité qui sont insérées à l’intérieur des conditions générales d’utilisation de la carte de fidélité ne peuvent être considérées comme étant « aisément accessibles » par les personnes concernées. Par ailleurs, le renvoi depuis une formulaire de collecte papier vers la page d’accueil du site internet de Carrefour France (et non directement vers un document ou une page de type « politique de protection des données à caractère personnel » sur le site internet) ne répond pas non plus à cette exigence d’accessibilité. En cas d’information « en plusieurs niveaux », la Cnil souligne d’ailleurs la nécessité de présenter dans un premier niveau d’information les informations essentielles et de renvoyer précisément vers le support comportant l’intégralité des informations requises, en précisant a minima la page ou l’adresse url à laquelle ces informations sont disponibles.
La Cnil considère également que l’information fournie par Carrefour France et par Carrefour Banque aux personnes concernées est difficilement compréhensible par les personnes concernées. A titre d’illustration, l’utilisation quasi systématique des termes « notamment », « sont susceptibles de », « éventuellement », « une possible utilisation de vos données », etc. ainsi que l’utilisation du conditionnel rendent selon la Cnil les informations fournies peu claires, ambigües ou imprécises, ce qui n’est pas sans rappeler les recommandations du G29 (devenu le Comité Européen de la Protection des Données ou « CEPD ») en matière de transparence.
Elle estime également que l’information telle que fournie aux personnes concernées au moment de son contrôle est incomplète s’agissant des traitements effectivement mis en œuvre par Carrefour France et Carrefour Banque, notamment en ce que :
- cette information ne mentionne pas par exemple tous les flux transfrontières de données vers des Etats hors Union Européenne ni les garanties encadrant de tels flux ;
- le fondement juridique retenu pour chaque traitement mis en œuvre n’est pas précisé ;
- les informations sur les durées de conservation des données sont imprécises et/ou lacunaires (notamment pour ce qui concerne les données collectées au moyen de cookies).
Manquements relatifs à la réglementation applicable en matière de cookies
Bien que les faits constatés soient antérieurs aux nouvelles recommandations de la Cnil en la matière (voir notre article ici à ce sujet) et soient donc soumis aux principes et recommandations tels qu’en vigueur à la date du contrôle de la Cnil, cette dernière constate que de nombreux cookies (dont des cookies Google Analytics) sont déposés automatiquement lors de l’arrivée des internautes sur le site internet des sociétés concernées, sans avoir recueilli préalablement leur consentement à cette fin.
A toutes fins utiles, la Cnil précise notamment que les cookies Google Analytics ne peuvent être considérés comme ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture du service dès lors que les données collectées par ces cookies peuvent être recoupées avec des données notamment pour mener à bien de la publicité personnalisée, ce dont il résulte que leur dépôt requiert le consentement préalable de l’utilisateur.
Manquements relatifs à l’obligation de limitation de la durée de conservation des données
S’agissant des pratiques constatées chez Carrefour France, la Cnil a sanctionné cette dernière au titre d’une conservation excessive des données.
En l’espèce, la Cnil a constaté lors de son contrôle :
- que Carrefour France avait défini une durée de conservation des données relatives aux clients bénéficiaires du programme de finalité de 4 ans à compter de leur dernière activité (alors que la Cnil considère qu’une durée de 3 ans apparaît proportionnée) ;
- qu’en pratique étaient encore conservées des données de clients inactifs depuis plus de 4 ans, notamment concernant plus de 28 millions de clients membres du programme fidélité inactifs depuis 5 à 10 ans ; et
- que des données de plus de 750 000 utilisateurs du site carrefour.fr dont le dernier acte d’achat avait été réalisé il y a entre 5 et 10 ans, et de près de 20 000 utilisateurs dont le dernier achat remontait à plus de 10 ans, figuraient encore des outils, bases de données,… de Carrefour France ;
ces durées de conservation ayant été considérées par la Cnil comme excessives au regard de la finalité poursuivie.
En outre, la conservation de la copie des titres d’identité collectés dans le cadre des demandes d’exercice de leurs droits par les personnes concernées pendant une durée d’un à 6 ans a été considérée par la Cnil comme excessive, cette dernière précisant à ce sujet que dès lors qu’il a été fait droit à la demande de la personne concernée, la société n’a plus besoin de conserver la copie du titre d’identité du demandeur et elle ne peut conserver le cas échéant à des fins contentieuses que le courrier de réponse adressé au demandeur, qu’elle doit alors archiver.
Manquements relatifs aux modalités d’exercice des droits des personnes concernées et aux délais de réponse à de telles demandes
Ainsi que nous le soulevions précédemment (voir notre article à ce sujet ici), l’adoption du décret n°2018-687 du 1er août 2018 pris en application de la loi « Informatique et libertés » a remis en cause l’obligation de demander systématiquement la copie d’un titre d’identité signé à l’appui d’une demande d’exercice de ses droits (droits d’accès, d’effacement, de rectification,…) adressée par une personne concernée.
Dans le cadre de son contrôle auprès de Carrefour France, la Cnil relève que, sauf pour ce qui concerne les demandes d’opposition au traitement de leurs données à des fins de prospection commerciale, Carrefour France demandait systématiquement un justificatif d’identité aux personnes concernées pour pouvoir exercer les droits qui leur sont reconnus au titre de la règlementation applicable en matière de protection des données à caractère personnel, alors même qu’une telle demande systématique d’un justificatif d’identité n’est pas justifiée lorsqu’il n’existe pas de doute quant à l’identité d’une personne demandant à exercer de ses droits.
En outre, il a pu être constaté un retard chronique dans le traitement des demandes d’exercice des droits reçues par Carrefour France en raison d’une désorganisation structurelle suite à l’entrée en application du RGPD. La Cnil rappelle à cet égard qu’il appartient à tout responsable de traitement de fournir la réponse à la demande de la personne concernée dans les meilleurs délais et en tout état de cause dans un délai d’un mois maximum à compter de la réception de la demande (ce délai ne pouvant être exceptionnellement prolongé de deux mois qu’en raison de la complexité et du nombre de demandes à traiter), si bien que des délais de réponse par Carrefour France pouvant être portés à près de 9 mois après la réception de la demande ne sont pas conformes aux exigences applicables en la matière.
Manquements relatifs au respect des droits des personnes concernées
Au cours du contrôlé mené par la Cnil, il est apparu que des demandes d’effacement ou d’accès à des données à caractère personnel ou encore d’opposition à un traitement de données à caractère personnel adressées par des personnes concernées n’avaient pas été suivies d’effet ou n’avaient fait l’objet d’aucune réponse de la part de Carrefour France, ce qui caractérise un manquement de la part de cette dernière aux obligations lui incombant s’agissant de la gestion, du traitement et du suivi des demandes d’exercice de leurs droits émanant des personnes concernées et des réponses à y apporter.
Manquements relatifs à l’obligation de sécurité des données à caractère personnel
Il est également reproché à Carrefour France de ne pas avoir mis en place les mesures nécessaires en vue d’assurer la sécurité des données à caractère personnel sur son site internet. En effet, la Cnil a pu constater lors de son contrôle que chaque facture de client était librement accessible par une adresse url fixe, si bien que toute personne disposant de cette adresse pouvait y accéder sans besoin de s’authentifier et de se connecter à son espace client.
La Cnil relève que l’ajout d’une chaîne de caractères aléatoires ne suffit pas à elle seule à empêcher un tel libre accès à des données de clients et que seul le déploiement d’un mécanisme d’authentification préalable obligatoire permet d’empêcher complètement ce risque.
Manquements relatifs à l’obligation de notification des violations de données à caractère personnel
Suite à une attaque informatique (au terme de laquelle 800 000 tentatives de connexion avaient abouti à 4 000 authentifications réussies et à 275 accès effectifs aux comptes de clients) n’ayant pas fait l’objet d’une notification à la Cnil, cette dernière a considéré que l’absence de notification de cette violation de données à caractère personnel par Carrefour France constituait un manquement de cette dernière à ses obligations en la matière dès lors que cette violation était susceptible d’engendrer des risques pour les droits et libertés des personnes concernées en raison de l’origine à l’évidence malveillante de cette attaque, du grand nombre de personnes concernées et de la combinaison de plusieurs données à caractère personnel auxquelles l’attaque a permis d’accéder et qui permettent l’identification et le contact direct des personnes concernées dès lors que les comptes concernés pouvaient comporter notamment l’identité des personnes ainsi que leurs coordonnées.
Manquements relatifs à l’obligation de loyauté du traitement
Lors de la souscription à une carte de paiement, il est constaté par la Cnil que le souscripteur peut également souscrire au programme de fidélité Carrefour, géré par Carrefour France.
Or, si le souscripteur est informé de ce que certaines de ses données peuvent être communiquées à une autre entité Carrefour dans ce cadre, la Cnil relève qu’une telle information n’est pas exhaustive s’agissant des données effectivement transmises en pratique. En outre, selon la Cnil, l’information fournie dans ce cadre est déloyale et trompeuse en ce qu’elle vise la communication de données à « Carrefour fidélité », qui est un service rattaché à Carrefour France, et non à « Carrefour France », ce qui n’est pas de nature à permettre d’identifier véritablement l’entité destinataire des données.
Aussi, la Cnil a considéré qu’en n’informant que partiellement et de manière déloyale les personnes concernées de ce que leurs données pouvaient être communiquées à Carrefour France, Carrefour Banque a méconnu le principe de loyauté du traitement, principe dont la violation peut, ainsi que le souligne la Cnil, faire l’objet d’une sanction.
* *
*
Les sanctions prononcées par la Cnil dans ces affaires ne sont pas négligeables dans la mesure où :
- pour les manquements reprochés à Carrefour France, cette dernière a été condamnée à une amende administrative de 2 250 000 euros;
- pour ceux reprochés à Carrefour Banque, cette dernière a été condamnée à une amende administrative de 800 000 euros ;
et ce alors même que la Cnil relève que nombre d’actions correctrices avaient été déployées par Carrefour France et Carrefour Banque en cours de procédure, permettant de corriger l’ensemble des manquements relevés par la Cnil dans son rapport de sanction, la Cnil soulignant qu’il n’est de ce fait pas justifié de les enjoindre à mettre en conformité leurs pratiques. Ces décisions sont susceptibles de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de leur notification.
Plan d’actions
Ces décisions doivent particulièrement être relevées car elles apportent un éclairage pertinent à tous les organismes traitant des données à caractère personnel et/ou utilisant des cookies, en précisant notamment l’appréciation faite par la Cnil s’agissant de l’application pratique des principes consacrés par la règlementation applicable en matière de protection des données à caractère personnel et en matière de cookies (et autres traceurs ou technologies similaires).
Il en résulte qu’il est structurant pour tout organisme traitant des données à caractère personnel et/ou utilisant des cookies de déployer sans délai notamment les actions suivantes :
- procéder à une revue des mentions d’informations implémentées ou encore des diverses politiques publiées (ex : privacy policy ou politique de confidentialité ou politique de protection des données à caractère personnel) afin de s’assurer qu’elles sont conformes à la réglementation applicable en matière de protection des données à caractère personnel et à l’interprétation qui en est faite par la Cnil. A cet égard, il convient entre autres de vérifier que ces mentions sont (et à défaut les modifier à cette fin):
-
- aisément accessibles par les personnes concernées (cf. les mentions d’information ne doivent pas être « noyées » dans des conditions générales d’utilisation ou de vente, elles ne doivent pas être « dispersées » entre différents supports, toute mention d’information dite « allégée » doit renvoyer précisément vers la mention d’information complète, etc.) ;
- aisément compréhensibles par les personnes concernées (cf. éviter l’utilisation de termes imprécis tels que « notamment, « sont susceptibles de », ou encore « peut-être », favoriser des formulations simples et des phrases courtes, hiérarchiser et ordonner les informations, etc.) ;
- exhaustives au regard des exigences en la matière (cf. préciser le fondement juridique de chaque traitement de données à caractère personnel au regard de chaque finalité poursuivie, préciser les garanties encadrant les flux de données à caractère personnel hors Union européenne ainsi que le moyen d’obtenir copie de ces garanties, préciser les durées de conservation pour l’ensemble des données ou des finalités poursuivies, etc.) ;
-
- procéder à une vérification des processus de dépôt / lecture des cookies sur ses sites internet (cf. s’assurer de la mise en place d’un module de gestion des cookies conforme aux dernières recommandations de la Cnil, s’assurer qu’aucun cookie soumis à consentement n’est déposé/lu/utilisé en l’absence du recueil préalable d’un tel consentement de la part de l’internaute, etc.) et de l’information y afférente (cf. intégration des informations à fournir dans une politique cookies indiquant la typologie, les finalités et les caractéristiques des cookies utilisés, des explications sur les modalités de recueil et de retrait du consentement, etc.) ;
- s’assurer que la procédure / le process mis en œuvre en matière gestion des demandes d’exercice des droits des personnes concernées est conforme à la doctrine de la Cnil, notamment s’agissant des hypothèses dans lesquelles une copie du titre d’identité peut être demandées et des modalités et durées de conservation de ce justificatif ainsi que de la réponse à apporter aux personnes concernées ;
- vérifier si les règles de conservation, d’archivage et de purge des données à caractère personnel déployées sont effectives et conformes aux principes applicables en la matière et à la position de la Cnil.
Bien entendu, en cas non-conformité(s) de ses pratiques à la position de la Cnil précitée, il convient pour tout responsable de traitement de réaliser l’ensemble des mises à jour nécessaires pour que lesdites pratiques soient conformes à la réglementation applicable en matière de protection des données à caractère personnel et de cookies, ainsi qu’à l’appréciation et à l’interprétation qui en est faite par la Cnil.
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel et en matière de cookies.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate