Sequestrada de numerosas quejas, la CNIL ha sancionado dos sociedades del grupo CARREFOUR para violaciones de GDPR sobre en particular las informaciones ofrecidas a las personas y el respeto de sus derechos.
Después de haber recibido diferentes quejas frente al grupo CARREFOUR, la CNIL ha efectuado controler entre mayo y julio 2019 en la sociedad CARREFOUR FRANCE (sector retail) y CARREFOUR BANQUE (sector bancario). En esta ocasión, la CNIL ha revelado carencias en el tratamiento de datos de los clientes y potenciales clientes. El presidente de la CNIL ha decidido de empezar un procedimiento sancionador en frente a estas sociedades.
Al término de esta procedura, el Comitè Selecto – el órgano competente de pronunciación de las sanciones de la CNIL – ha efectivamente considerado que las sociedades han violado algunas obligaciones previstas por el GDPR.
Por esto, ha sancionado la sociedad CARREFOUR FRANCE con una sanción de 2.250.000 euros y la sociedad CARREFOUR BANQUE con una sanción de 800.000 euros. De otra parte, no ha emitido un orden judicial cuando ha revelado que los retos significativos habían permitido confirmar todas las violaciones identificadas.
Violación de la obligación de información (artículo 13 GDPR).
Las informaciones ofrecidas a los usuarios de los sitios CARREGOUR.FR y CARREFOUR-BANQUE.FR así como a las personas que deseaban adherir al programa de fidelidad o a la tarjeta Pass no eran fácilmente accesibles (Acceso a las informaciones muy complicado, incluidas otras informaciones), ni fáciles de comprender (informaciones escritas en términos generales e imprecisos, a veces formulaciones inútilmente complicadas). Además, ha sido incompleto para lo que concierne la duración de la conversación de datos.
Para lo que se refiere a el sitio CARREFOUR.FR las informaciones eran insuficientes también para lo que se refiere a la transferencia de datos fuera de la Unión Europea y la base jurídica para la elaboración (file).
Sobre este punto, las sociedades han modificado las propias informativas y los sitios web durante la procedura para hacerlos conformes.
Violaciones sobre los cookies (artículo 82 de la ley de protección de datos).
La CNIL ha notado que, cuando un usuario se conecta al sitio CARREFOUR.FR o al sitio CARREFOUR-BANQUE.FR, diferentes cookies han sido automáticamente inseridos en su terminal, antes de cualquier acción por su parte. Porque muchos de estos cookies se utilizan para la publicidad, el consentimiento del usuario tendría ser deja recogido antes de la archivación.
Las sociedades han modificado la manera en la cual funcionan sus sitio web durante el procedimiento. Ningún cookies publicitario es depositado antes que el usuario haya dejado su consentimiento.
Falta de respeto de la obligación de limitación del periodo de conservación de datos (artículo 5.1 del GDPR).
La sociedad CARREFOUR FRANCE no ha respetado los periodos de conservación de datos que había establecido. Los datos de más de 28 millones de clientes inactivos desde cinco hasta diez años han sido archivados en el ámbito del programa de fedeltad. El mismo apareció para los 750.000 usuarios del sitio CARREFOUR.FR que quedaban inactivos desde cinco hasta diez años
Además, en el presente caso, el Comité Selecto considera excesivo el período de retención de 4 años para los datos de los clientes después de su última compra. Este período, adoptado inicialmente por la empresa, supera lo que parece necesario en el ámbito de la gran distribución, teniendo en cuenta los hábitos de consumo de los clientes que realizan compras regulares.
Durante el proceso, la empresa CARREFOUR FRANCE comprometió importantes recursos para hacer los cambios necesarios para que cumpla con el GDPR. En particular, se eliminaron todos los datos que eran demasiado antiguos.
Una violación de la obligación de facilitar el ejercicio de los derechos (artículo 12 GDPR)
La sociedad CARREFOUR FRANCE ha solicitado, a menos que se oponga a la prospección comercial, un documento de identidad para cualquier solicitud de ejercicio de derechos. Esta solicitud sistemática no se justificaba porque no había dudas sobre la identidad de las personas que ejercían sus derechos. Además, la empresa no pudo tramitar varias solicitudes de ejercicio de derechos dentro de los plazos establecidos por el GDPR.
En estos dos puntos, la compañía cambió sus prácticas durante el procedimiento. En particular, puso a disposición importantes recursos humanos y organizativos para responder a todas las solicitudes recibidas en un período de menos de un mes.
Incumplimiento de los derechos (artículos 15, 17 y 21 del GDPR y L34-5 del Código Postal y comunicaciones electrónicas)
En primer lugar, la empresa CARREFOUR FRANCE no ha respondido a varias solicitudes de personas que querían acceder a sus datos personales. La empresa se puso en contacto con todos los interesados durante el procedimiento.
Posteriormente, en varios casos, la empresa no suprimió los datos solicitados por varias personas cuando debería haberlo hecho. También en este punto, la compañía aceptó todas las solicitudes durante el procedimiento.
Por último, la empresa no tuvo en cuenta varias solicitudes de personas que se oponían a la recepción de anuncios por SMS o correo electrónico, en particular debido a errores técnicos ocasionales. La compañía también se mostró complaciente durante el procedimiento en este punto.
El incumplimiento de la obligación de procesar correctamente los datos (artículo 5 del GDPR)
Cuando una persona suscrita a una tarjeta Pass (tarjeta de crédito que se puede adjuntar a la cuenta de lealtad) quería unirse al programa de lealtad, tenía que marcar una casilla indicando que aceptaba que CARREFOUR BANQUE comunicara su nombre a «Carrefour lealtad», su nombre y dirección de correo electrónico. CARREFOUR BANQUE indicó explícitamente que no se habían transmitido otros datos. Sin embargo, la CNIL observó que se habían transmitido otros datos, como la dirección postal, el número de teléfono y el número de sus hijos, aunque la empresa se comprometió a no transmitir ningún otro dato.
En este punto, la compañía cambió sus prácticas durante el procedimiento. Ha renovado completamente su procedimiento de suscripción en línea para la tarjeta Pass y ahora se informa a la gente de todos los datos transmitidos a CARREFOUR FRANCE.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL