La formation restreinte de la Commission nationale de l’informatique et des libertés (ci-après « Cnil ») a sanctionné les sociétés Carrefour France et Carrefour Banque pour manquements à des obligations prévues par le Règlement général sur la protection des données (ci-après « RGPD ») :
- 2 250 000 euros à l’encontre de Carrefour France ;
- 800 000 euros à l’encontre de Carrefour Banque,
le montant cumulé de ces amendes s’élevant ainsi à 3 050 000 euros.
Ces décisions ont été publiées le 18 novembre dernier, et en l’espace de deux semaines, ces sanctions ont été relayées par des centaines de sites, médias et réseaux sociaux.
Alors quel est le pire : l’amende prononcée ou la publicité de ces décisions ?
Ces amendes font suite à quinze plaintes de particuliers reçues par la Cnil entre juin 2018 et avril 2019 à l’encontre des sociétés. Ces plaintes concernaient pour la plupart des demandes d’effacement des données, des demandes d’accès aux données ainsi que de désabonnement à la prospection commerciale non pris en compte par les sociétés.
Suite à ces plaintes, la Cnil a effectué entre mai et juillet 2019 un contrôle en ligne et 4 contrôles sur places à l’égard de Carrefour France. En ce qui concerne la société Carrefour Banque, un contrôle en ligne et un contrôle sur place ont été réalisés.