La CNIL sanctionne les sociétés Carrefour France (2 250 000 euros) et Carrefour Banque (800 000 euros) pour divers manquements au RGPD et à la Loi Informatique et Libertés
Saisie de plusieurs plaintes à l’encontre du groupe Carrefour, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés Carrefour France (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels :
- Manquement à l’obligation d’informer les personnes : information insuffisamment accessible, ni facilement compréhensible, incomplète ;
- Manquement relatif aux cookies : dépôt de cookies (dont certains servant à la publicité) sur le terminal de l’utilisateur avant toute action de sa part ;
- Manquement relatif aux durées de conservation : non-respect des durées fixées ; durée de conservation excessives des données clients après le dernier achat (4 ans) ; non-respect du droit à la prospection commerciale ;
- Manquement à l’obligation de faciliter l’exercice des droits et au respect des droits des personnes concernées : notamment, demande systématique de justificatifs d’identité sans doute raisonnable ;
- Manquement à l’obligation de traiter les données de manière loyale : transmission de certaines données personnelles que Carrefour Banque indiquait explicitement qu’elles n’étaient pas transmises.