De multiples manquements de Carrefour lourdement sanctionnés par la CNIL

Compte tenu de la diversité des manquements reprochés à Carrefour France et Carrefour Banque à la suite des contrôles opérés en leur sein courant 2019, ces deux délibérations sont une occasion pour la Commission nationale de l’informatique et des libertés (CNIL) de mettre en œuvre les grands principes du droit des données personnelles et d’y confronter des pratiques commerciales que l’on imagine assez fréquentes.

Ainsi, si les décisions Carrefour ne se démarquent pas particulièrement par l’originalité de leurs griefs, elles permettent néanmoins à l’autorité de régulation d’asseoir son interprétation de dispositions phares du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi « Informatique et Libertés » du 6 janvier 1978 (LIL) et par là même de nourrir sa doctrine à destination de tous les responsables de traitement et de souligner la doctrine répressive de la CNIL.

Des précisions utiles sur des dispositions centrales du droit des données personnelles

La CNIL relève divers écarts de conformité, tantôt communs aux deux entités du groupe, tantôt spécifique à l’une ou l’autre.

Enjeux de conservation des données

Selon les indications de Carrefour France, les données clients conservées aux fins de gestion des activités commerciales sont conservées quatre ans ; durée à laquelle la CNIL confronte sa propre recommandation (purement indicative) de trois ans. Estimant toutefois que le secteur de la grande distribution implique des « clients d’habitude retournant de façon régulière dans les mêmes magasins », l’autorité en conclut qu’un client n’ayant pas commercé avec la société depuis plusieurs années ne saurait être considéré comme tel, ce dont elle déduit une durée excessive de conservation par Carrefour.

Au surplus, la mise en œuvre du programme d’effacement de données au-delà de cette période étant défaillante, des informations relatives à des centaines de milliers d’individus dont l’acte d’achat remontait à plus de cinq ans étaient encore détenues par Carrefour.

En outre, la CNIL constate une violation en matière de conservation des pièces d’identité lors d’une demande d’exercice de droit par une personne concernée, des durées allant d’un à six ans étant naturellement jugées disproportionnées. Selon l’autorité, le responsable de traitement doit cesser de conserver la pièce d’identité au plus tard « dès qu’il a été fait droit à la demande » (et le cas échéant avant, « une fois l’identité confirmée »).

La CNIL relève par ailleurs que la demande d’un justificatif d’identité ne saurait être systématique mais doit uniquement se limiter aux cas dans lesquels le responsable de traitement doute raisonnablement de l’identité de la personne, conformément à l’article 12.6 du RGPD.

Gestion défaillante des demandes d’exercice de droits

L’autorité pointe ici du doigt un retard chronique dans le traitement des demandes d’exercice de droits, alors même que l’article 12 du RGPD prévoit des délais ne pouvant excéder trois mois. La récurrence des retards de traitement résulte d’un manque d’anticipation de l’augmentation des demandes post-RGPD.

Carences dans la fourniture de l’information

La CNIL invalide, tant sur la forme que le fond, les mentions d’information communiquées aux personnes concernées, s’agissant du traitement de leurs données personnelles sur le site carrefour.fr ou dans le cadre du programme fidélité.

Quant à la forme, l’article 12.1 du RGPD impose la fourniture d’une information « concise, transparente, compréhensible et aisément accessible ». L’exigence d’accessibilité commande que les mentions d’information soient facilement identifiables par les personnes concernées. Or le choix de Carrefour France de proposer une information en plusieurs niveaux, par ailleurs disséminée dans d’autres documents telles les conditions générales d’utilisation du site ou de la carte fidélité et à maintes reprises redondante, a contribué à rendre son accès « malaisé ».

L’absence de lisibilité, à travers « des formulations peu claires, ambiguës, ou imprécises » qui sont « souvent inutilement compliquées, rendaient la lecture des mentions d’information fastidieuse », doit alerter tout responsable de traitement sur la nécessité d’une rédaction simplifiée et sans détour, susceptible d’être appréhendée par le profane.

Quant au contenu lui-même, il est incomplet à plusieurs titres, malgré la liste exhaustive fournie à l’article 13 du RGPD : indication du responsable de traitement, base juridique des traitements, transfert des données hors Espace économique européen, durées de conservation.

Des griefs identiques sont caractérisés à l’égard de Carrefour Banque.

Ineffectivité des droits d’accès, d’effacement et d’opposition à la prospection

Citant à l’appui plusieurs mésaventures individuelles, la CNIL souligne les carences de Carrefour France dans la mise en œuvre effective des droits exercés par les clients.

En particulier, le droit d’effacement est insuffisamment respecté, Carrefour France ayant conservé, après traitement de la demande, l’adresse e-mail de requérants comme clé d’entrée de la base de données, pour des raisons pratiques.

Quant au droit d’opposition à la prospection, la CNIL constate à la fois une non-prise en compte de certaines demandes formulées par SMS et surtout l’absence, sur plusieurs dizaines de milliers d’e-mails, d’un lien de désinscription simple non corrélé à la détention d’un compte. Malgré les correctifs rapidement apportés par Carrefour France, l’atteinte à l’article 21 du RGPD est caractérisée.

Atteintes en matière de sécurité

À l’image de toutes les dernières sanctions de l’autorité, un manquement à l’obligation de sécurité visée à l’article 32 du RGPD est relevé, s’agissant de factures clients accessibles librement. L’ajout d’une suite de caractères aléatoires à l’URL fixe, s’il réduit le risque d’accès à ces données personnelles, ne l’efface pas complètement, ce que seul un dispositif d’authentification permet.

Carrefour France a également omis de déclarer une violation de données à la CNIL visant l’application mobile, ayant jugé, en vertu de l’article 33, que cette violation n’était pas de nature à « engendrer un risque pour les droits et libertés des personnes physiques ». Tenant compte des milliers d’authentifications réussies par les pirates et du caractère malveillant de la cyberattaque, la CNIL caractérise pourtant ce risque et sanctionne le défaut de notification.

Manquement à l’obligation de loyauté

Visée à l’article 5.1.a) du RGPD, cette obligation impose au responsable de traitement de ne pas se comporter de manière déloyale à l’égard des personnes concernées.

Dans le cadre d’une souscription à la carte de paiement, Carrefour Banque proposait l’adhésion à la carte Carrefour en transmettant à Carrefour France plusieurs types de données ; or, en pratique, bien plus d’informations personnelles étaient ainsi communiquées que ce que les mentions d’information laissaient entendre.

Bien que la notion de loyauté ne soit pas expressément définie dans les textes, la CNIL rappelle qu’il s’agit d’un concept autonome, distinct de celle néanmoins connexe de transparence et sanctionne ainsi l’information inexacte fournie par Carrefour Banque.

Politique cookies indigeste

Last but not least, la CNIL sanctionne les deux sociétés pour l’exécution d’une politique cookies contraire à l’article 32 de la loi Informatique et libertés. Carrefour France et Carrefour Banque se sont dispensées du recueil du consentement de l’internaute pour le dépôt et la lecture de certains cookies sur son terminal, sans pourtant pouvoir bénéficier de l’exception légale s’appliquant uniquement aux traceurs strictement nécessaires à la fourniture du service.

Ce faisant, les sociétés Carrefour ont court-circuité l’obtention du consentement de la personne concernée, notamment s’agissant de cookies Google analytics, utiles pour mener à bien la prospection commerciale.

Concernant Carrefour Banque particulièrement, l’importance de la sanction semble être en lien avec le nombre significatif de personnes concernées, sonnant comme une alerte aux responsables de traitement lors de « l’effectivité » des lignes directrices modificatives et de la recommandation portant sur l’usage de cookies et autres traceurs fin mars 2021 (v. Dalloz actualité, 7 oct. 2020, art. C. Crichton).

Une décision précisant la doctrine répressive de la CNIL

Les décisions prononcées par la CNIL à l’encontre des deux sociétés Carrefour présentent un intérêt certain à plusieurs égards.

Une mauvaise appréciation des risques par Carrefour

Il convient de mettre ces décisions en perspective avec les dispositions de deux articles centraux du RGPD.

L’article 25.1 enjoint au responsable de traitement de mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les données personnelles, tant au moment de la détermination du traitement que de l’exécution de celui-ci « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques » ; l’article 32 prescrit des obligations similaires précisément en matière de sécurité.

Dans l’absolu, nul ne pourrait légitimement arguer du manque de moyens de Carrefour ; ses sociétés disposent des ressources, humaines et financières, et compétences nécessaires aux fins de mettre en œuvre une politique de conformité au droit des données personnelles optimale, malgré le modèle économique de son secteur d’activité aujourd’hui particulièrement fragilisé par la révolution des usages liée au numérique. Le G29 rappelait en tout état de cause dans ses lignes directrices adoptées le 3 octobre 2017 sur l’application et la fixation des amendes administratives : « les responsables de traitement et les sous-traitants ne peuvent se prévaloir d’un manque de ressources pour justifier des violations relatives à la protection des données ».

Néanmoins, à l’égard de plusieurs des manquements caractérisés par la CNIL, l’existence d’un risque réel et d’un certain niveau de gravité demeurait discutable, notamment, s’agissant des retards de traitement des demandes d’exercice de droits, ou de l’ineffectivité d’un droit d’accès ou d’opposition à la prospection par SMS ayant concerné quelques individus.

Il revient au responsable de traitement d’évaluer les risques relatifs à ses activités de traitement et sur cette base d’opérer les choix opérationnels nécessaires. Semble-t-il, Carrefour n’a pas choisi d’expliquer ses arbitrages et ses choix dans la gestion des risques associés à la protection de données personnes en fonction des critères visés à l’article 25.1 du RGPD, et a préféré reconnaître les manquements.

L’autorité démontre ici une rigueur certaine dans l’appréciation de la gestion des risques par Carrefour, sachant que les obligations nées de l’article 25 sont de moyens et non de résultat (v. G29, lignes directrices du 3 oct. 2017 sur l’application et la fixation des amendes administratives, WP 253) et « que la plupart des manquements résultent de négligences, d’erreurs ponctuelles ou d’un manque d’anticipation des conséquences de l’entrée en application du Règlement ». L’accent mis par la CNIL sur les ressources des moyens consacrées à la mise en conformité post-contrôle témoigne sans conteste de l’importance de ce facteur pour minorer ce montant sans précédent de sanction d’un acteur de l’ancienne économie.

Une force quasi obligatoire des référentiels de la CNIL

La CNIL opère un exercice d’équilibriste en considérant ses référentiels (tels que celui relatif à la durée de conservation de trois ans des données des clients inactifs) certes comme étant non obligatoires, mais constituant néanmoins des balises dont le responsable de traitement ne semble pouvoir trop s’écarter.

Carrefour France reconnaît des manquements quant à cette durée spécifique, mais sans pour autant, pour justifier ce délai, faire valoir une quelconque spécificité de son secteur d’activité ou du type de relation entretenu avec ses clients, de nouveau sur le fondement de son analyse des risques dont elle pourrait se prévaloir aux termes de l’article 25.1 précité.

Une confrontation sur ces points juridiques aurait été éclairante pour mettre à l’épreuve la valeur théoriquement non contraignante de la soft law de la CNIL et notamment de ses délibérations, afin de promouvoir l’élaboration de référentiels modulables adaptés aux spécificités de chaque responsable de traitement. Carrefour France, préférant en quelque sorte « plaider coupable », nous prive de l’opportunité d’un tel débat – et interroge quant à cette stratégie de défense devant la CNIL ne lui permettant pas de faire valoir ses choix opérationnels en matière de données personnelles.

Une sanction de Carrefour circonstanciée et à visée dissuasive

Quant au prononcé de la sanction, quelques éléments de contexte permettent d’expliquer la fixation d’une amende de 2 250 000 € à l’égard Carrefour France et 800 000 € à l’égard de Carrefour Banque selon la grille d’analyse de l’article 83.2 du RGPD. La CNIL relève ainsi certaines circonstances aggravantes :

• la nature, la gravité et la durée de la violation (s’agissant des durées de conservation des données clients ou du traitement déloyal de données entrepris par Carrefour Banque),
   
• le nombre de personnes concernées (notamment s’agissant des politiques cookies ayant impacté plusieurs millions de personnes) ;

ou au contraire atténuantes :

• la coopération totale avec l’autorité de contrôle,
   
• les « efforts très importants engagés afin d’atteindre une conformité totale au jour de la séance »,
   
• l’absence de données sensibles impliquées,
   
• l’absence d’avantages retirés par Carrefour des manquements,
   
• le « niveau de dommage subi comme peu important »,
   
• la prise en compte du modèle économique de la grande distribution caractériser par des marges faibles ;

afin de moduler le montant de ces sanctions.

La CNIL fournit par ailleurs d’amples développements sur l’assiette de calcul à prendre en compte pour fixer la sanction, compte tenu de l’organisation juridique complexe du groupe Carrefour et des nombreuses filiales détenues par Carrefour France.

Ces deux décisions sont ainsi à confronter avec celles rendues l’ICO – notamment récemment contre Marriott et British Airways – lesquelles proposent un exposé plus détaillé des justifications de la sanction et notamment de l’impact des facteurs atténuants (v. Dalloz actualité, 25 nov. 2020, art. I. Gavanon et V. Le Marec).

Nul doute cependant que la CNIL a souhaité conférer à ces sanctions une valeur dissuasive (conformément à l’article 83.1 du RGPD), signe d’une transition de l’ère de tolérance vers le temps de la répression enclenchée depuis 2019, et dans la droite lignée des lignes directrices du G29 précitées, selon lesquelles les sanctions « ne doivent pas être utilisées de telle manière que leur efficacité s’en trouverait amoindrie ».

Unique planche de salut de Carrefour : espérer obtenir une réduction du montant de l’amende en arguant du déploiement d’efforts considérables post-contrôle et d’une entière coopération avec l’autorité, à l’image de la réduction de 50 000 € accordée par le Conseil d’État à Optical Center le 17 avril 2019 (CE 17 avr. 2019, req. n° 422575, Lebon ; AJDA 2019. 1786 ; Dalloz IP/IT 2019. 276, obs. N. Maximin ; ibid. 577, obs. C. Galichet ; Légipresse 2019. 261 et les obs. ).