Plus de 3 millions d’euros d’amende et la publication de décisions permettent de saisir la complexité de la politique de gestion des données personnelles des clients chez Carrefour France et Carrefour Banque. Depuis, leurs errements ont été corrigés. Marion Depadt-Bels, Avocat associé au Cabinet Gramond & Associés nous livre son analyse.

Les plaintes adressées par les personnes concernées à la Cnil sont devenues les principales sources de contrôle de cette autorité : 42 % des contrôles réalisés en 2019. C’est à la suite de plusieurs plaintes reçues par la Cnil concernant différentes entités du Groupe Carrefour que cette dernière a décidé, en avril et juin 2019, de diligenter une mission de vérification des traitements de données à caractère personnel mis en œuvre par ces sociétés.

Ces contrôles ont conduit la formation restreinte de la Cnil à prononcer, à l’encontre des sociétés Carrefour France et Carrefour Banque, le 18 novembre 2020, des amendes administratives d’un montant respectif de 2 250 000 euros et de 800 000 euros, et ce sans mise en demeure préalable.

A lire aussi : RGPD : 1 an après, tous conformes ?

La formation apporte des précisions intéressantes quant au raisonnement adopté pour retenir ces montants, notamment en précisant que l’assiette de l’amende doit prendre en compte non seulement le chiffre d’affaires réalisé par la société Carrefour France, mais également celui réalisé par les filiales qu’elle détient et qui ont bénéficié de ces traitements, ceci afin de s’assurer que l’amende a un caractère « dissuasif ».

Notons que ces sanctions sont prononcées en dépit du fait que les sociétés Carrefour ont réalisé d’importantes actions de conformité préalablement à l’ouverture de la procédure de sanction, qu’elles ont fait preuve d’une « parfaite coopération » pendant la procédure et qu’elles avaient, au jour des décisions, corrigé l’ensemble des manquements relevés.

A lire aussi : Comment rééquilibrer la relation consommateur – entreprise grâce au RGPD

Le prononcé de ces amendes administratives est par ailleurs assorti de la publication des délibérations correspondantes, avec mention du nom des sociétés pour une durée de deux ans.

Outre la gravité des manquements sanctionnés et le nombre de personnes concernées, la formation restreinte considère en effet que la publicité de ces décisions est le meilleur moyen, quand ce n’est pas le seul, d’informer les personnes concernées de l’existence passée de ces manquements. Les manquements retenus contre les sociétés Carrefour France et Carrefour Banque sont riches de rappels et d’enseignements – même s’ils suscitent pour certains quelques interrogations.

Constituent ainsi des manquements :

• Eu égard aux obligations en matière de conservation des données :

– le fait de conserver les données des clients d’un programme de fidélité pendant quatre années après leur dernière activité – durée qualifiée d’excessive au regard du secteur concerné, à savoir la grande distribution. La formation restreinte de la Cnil précise dans ce cadre que si les textes de droit souple, qui recommandent que les données des clients inactifs soient conservées pendant une durée ne dépassant pas trois ans à compter du dernier contact avec la société, n’ont pas de force obligatoire, ils constituent néanmoins une « référence permettant d’apprécier une durée appropriée » ;

– le fait de conserver les données de ces clients ou d’utilisateurs d’un site web marchand au-delà même de cette durée de quatre années, en raison d’un retard dans la mise en œuvre d’un programme d’effacement ;

• Eu égard aux obligations en matière d’exercice des droits :

–  le fait de demander de façon systématique un justificatif d’identité – en l’absence même de « doutes raisonnables » sur l’identité de la personne concernée ;

– le fait de conserver une copie de la pièce d’identité demandée dans le cadre de l’exercice de ses droits par une personne une fois la vérification d’identité réalisée ;

– le fait de ne pas répondre dans les délais légaux à des demandes d’exercice de droit, du fait d’une augmentation significative de ces demandes non suffisamment anticipée ;

– le fait de ne pas prendre en compte des demandes d’effacement. Notons que la commission rappelle à cette occasion que « (…) après une demande d’effacement, certaines données personnelles des clients peuvent être conservées, notamment au titre des obligations légales ou à des fins probatoires (…) » ;

• Eu égard à l’obligation de loyauté :

– le fait de transmettre à une autre société du groupe plus de données à caractère personnel que celles pour lesquelles les personnes étaient informées du transfert ;

• Eu égard aux modalités d’information des personnes :

– le fait d’intégrer les informations dans des conditions générales, et obliger ainsi l’utilisateur à faire défiler un grand nombre de pages pour trouver l’information recherchée, le fait d’intégrer le lien vers la politique de confidentialité dans les mentions légales du site ou encore le fait de renvoyer pour le 2^e niveau d’information vers la page d’accueil d’un site internet sans autre précision.

La commission reproduit dans ce cadre un extrait des lignes directrices du G29 sur la transparence lesquelles précisent que « chaque entreprise disposant d’un site internet devrait publier une déclaration ou un avis sur la protection de la vie privée sur son site. Un lien direct vers cette déclaration ou cet avis sur la protection de la vie privée devrait être clairement visible sur chaque page de ce site internet sous un terme communément utilisé » ;

– le fait, dans le cas d’une information en plusieurs niveaux, de ne pas présenter l’ensemble des caractéristiques essentielles du traitement dans le 1^er niveau d’information. La commission rappelle ici que ce 1^er niveau d’information doit détailler la finalité du traitement, mentionner l’identité du responsable du traitement et décrire les droits des personnes concernées ;

• Eu égard au contenu des mentions d’information des personnes :

– le fait d’utiliser des formulations peu claires, ambigües ou imprécises ou ne pas hiérarchiser et ordonner les informations. Une longue énumération portant sur les différents points de la réglementation ne permet pas à la personne concernée de trouver facilement l’information qu’elle cherche, la contraignant à lire l’ensemble des mentions d’information, et ne respecte dès lors pas l’exigence d’accessibilité ;

– le fait de ne pas identifier correctement le responsable du traitement parmi les différentes entités au sein du groupe, le fait de ne pas préciser la base légale applicable à chaque traitement, le fait de ne pas fournir la durée de conservation des données, le fait de ne pas mentionner les pays situés en dehors de l’Union européenne vers lesquels les données pouvaient être transférées ni les garanties encadrant ces transferts ;

• Eu égard à la prospection commerciale par voie électronique :

– le fait d’intégrer dans un courriel de prospection un lien de désinscription renvoyant vers l’espace personnel du client sur le site marchand et d’envoyer ce courriel à des personnes ne disposant pas d’un compte client ;

• Eu égard à la sécurité :

– le fait d’identifier une vulnérabilité technique (possibilité pour un tiers d’accéder à une facture via une URL fixe) et de ne déployer que la première des mesures palliatives identifiées (l’ajout d’une chaîne de caractères aléatoires) – alors que seule la mise en œuvre de la seconde mesure (la mise en place d’un mécanisme d’authentification préalable) permettait d’éliminer le risque ;

• Eu égard à la notification des violations de données :

– le fait d’identifier une attaque informatique ayant abouti à des authentifications réussies et à des accès effectifs aux comptes de clients et de ne pas notifier ladite violation à la CNIL. La commission rappelle qu’en cas de violation de données à caractère personnel, le principe est celui de la notification à l’autorité de contrôle, l’absence de notification n’étant possible que par exemption lorsque la violation n’est pas susceptible d’engendre un risque pour les droits et libertés des personnes ;

• Eu égard aux cookies :

–  le fait de déposer des cookies dès l’arrivée sur la page d’accueil du site, avant toute action de l’utilisateur, dès lors que certains de ces cookies, en particulier des cookies appartenant à la solution Google Analytics, ne pouvaient pas bénéficier de l’exemption, laquelle ne concerne que les cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et les cookies strictement nécessaires à la fourniture d’un service de communication en ligne.

Plus de deux années se sont écoulées depuis le début d’application du RGPD en mai 2018. L’un des objectifs de la CNIL est de « s’assurer que la protection des données entre définitivement dans les mœurs et la culture quotidienne des organismes publics et privés, condition impérative du succès du RGPD », comme le rappelait la présidente de la Cnil, Marie-Laure Denis, dans le rapport d’activité pour 2019.

À cet effet, il entre dans les missions de la Cnil d’accompagner les entreprises. Mais la Cnil est également investie de pouvoirs répressifs et dispose incontestablement, depuis l’adoption du RGPD, de moyens effectifs pour prononcer des sanctions dissuasives. Les décisions Carrefour démontrent, si besoin était, que la Cnil entend maintenant fermement assurer ce rôle répressif.