Carrefour conservait trop longtemps la Data de ses clients et ex-clients (RGPD)

Carrefour conservait trop longtemps la Data de ses clients et ex-clients (RGPD)

Pour plusieurs manquements au RGPD, le groupe Carrefour écope au total d’une amende de la Cnil d’un peu plus de trois millions d’euros. La sanction touche Carrefour France et Carrefour Banque, qui ont depuis engagé d’importants efforts de conformité.

Officiellement, les grandes entreprises françaises déclarent toutes leur profond attachement au respect de la législation sur la protection des données personnelles. La conformité est, il est vrai, un gage de confiance et donc un facteur business clé.

La mise en œuvre du RGPD peut cependant se révéler complexe. Carrefour en fait l’expérience. Le distributeur français, mais aussi sa filiale bancaire Carrefour Banque, font ainsi l’objet d’un rappel à l’ordre public.

Des données conservées 5 à 10 ans pour 28 millions d’inactifs

La Cnil ne se cantonne pas à un simple rappel à la loi cependant. Le gendarme des données personnelles inflige à l’entreprise une amende de 2,25 millions d’euros. Carrefour Banque écope en plus d’une sanction de 800.000 euros.

Cette condamnation, rendue publique donc, sanctionne plusieurs manquements graves de Carrefour France à l’égard du RGPD. Cette procédure fait suite à plusieurs plaintes et à des contrôles de la Cnil entre mai et juillet 2019, soit plus d’un an après l’entrée en vigueur du règlement.

L’autorité rappelle notamment son attachement à l’obligation d’information. C’est d’ailleurs en grande partie pour un tel manquement que Google écopait de 50 millions d’euros d’amende. Les sites carrefour.fr et carrefour-banque.fr se voient reprocher de multiples failles sur cette question.

Les juristes de la Cnil épinglent ainsi un accès à l’information « trop compliqué » concernant son programme de fidélité et la carte Pass. En outre, l’information ne s’avérait pas « facilement compréhensible », mais en plus « incomplète ».

Carrefour installait des cookies publicitaires sans consentement

Carrefour se montrait en particulier trop imprécis sur la durée de conservation des données. Or, l’enseigne est justement sanctionnée pour ses pratiques en matière de conservation. Cela peut expliquer les lacunes de son information sur ce point.

Ainsi, les données de plus de 28 millions de clients inactifs de son programme de fidélité étaient conservées de 5 à 10 ans. 750.000 clients inactifs de son site e-commerce se trouvaient dans une situation similaire.

La formation restreinte de la Cnil juge à ce titre « qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive ». Avec une conservation de 5 à 10 ans, Carrefour se met en infraction. Pire, la société ne respectait pas les durées qu’elle avait elle-même fixées.

L’autorité de protection prend note cependant des changements apportés depuis par Carrefour. La filiale française a ainsi « engagé d’importants moyens » pour se conformer au RGPD. Cela comprend la suppression de « toutes les données trop anciennes ».

Des « efforts importants » pour se mettre en conformité

Mais le travail de mise en conformité de Carrefour portait sur bien d’autres domaines. Les contrôles de la Cnil révélaient des manquements divers. Ceux-ci portent sur les cookies, déposés automatiquement et sans consentement. Le groupe compliquait de plus l’exercice des droits, comme de s’opposer à la prospection commerciale.

Le régulateur lui reproche enfin son manquement à « l’obligation de traiter les données de manière loyale ». Lors de la souscription à la carte de crédit Pass de Carrefour Banque, seules certaines données devaient en principe être partagées avec le distributeur.

L’entreprise assurait que ces données portaient uniquement sur les nom, prénom et adresse email. Faux, mettaient en lumière les contrôles sur place. Ces informations englobaient en effet aussi l’adresse postale, le numéro de téléphone et le nombre d’enfants.

« Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises » à Carrefour France, note la Cnil. Elle constate en outre que l’entreprise a engagé « des efforts importants » lui permettant de se mettre en conformité sur tous les manquements relevés.

A lire également sur MyData

Data et IA moteurs pour Carrefour d’une expérience sans couture sur l’e-commerce alimentaire

Data et IA moteurs pour Carrefour d’une expérience sans couture sur l’e-commerce alimentaire

Carrefour se veut un leader de l’e-commerce alimentaire. Ses chantiers dans la Data et l’intelligence artificielle doivent pour cela contribuer à l’expérience client et à la satisfaction. Le distributeur développe ainsi des algorithmes de personnalisation et de substitution.

A propos de Christophe Auffray 430 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.