6 leçons à retenir après la sanction de Carrefour par la CNIL
Quelles sont les 6 leçons à retenir après la sanction de Carrefour par la CNIL ?
- Informer correctement toutes les parties concernées
- Configurer correctement votre gestionnaire de cookies sur le site
- Exécuter les durées de conservation fixées
- Répondre à toute demande d'exercice des droits du DPD
- Faciliter l'exercice des droits
- Faites ce que vous dites et dites ce que vous faites
Pour revenir à l'essentiel des amendes RGPD, consultez notre article : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations
Nous avons appris que la CNIL a prononcé deux sanctions de 2.250.000 euros et 800.000 euros contre les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en novembre 2020.
En fait, la CNIL a effectué un contrôle de ces deux sociétés en 2019, à la suite de plusieurs plaintes déposées par des individus (rappelons qu'une plainte d'un individu qui n'est pas satisfait de la façon dont vous traitez ses données, ou de la façon dont vous l'informez sur le traitement, est généralement un facteur principal qui déclenche un contrôle de la CNIL.)
La CNIL a sanctionné ces entreprises à la découverte de plusieurs manquements, à savoir :
- les manquements à l'obligation d'information des personnes.
- les manquements relatifs aux cookies.
- le non-respect de l'obligation de limitation de la durée de conservation des données.
- le non-respect des droits.
- le défaut de moyens permettant l'exercice des droits.
- le non-respect de l'obligation de traiter les données de manière loyale.
Nous expliquons ci-dessous pourquoi et les leçons que nous pouvons en tirer afin de vous donner un meilleur aperçu des quelques précautions à prendre en matière de protection des données personnelles.
Informer correctement toutes les parties concernées (leçon n°1)
Ces sociétés avaient mis en place des pages web dédiées à l'information des personnes dont les données sont traitées. Toutefois, ces informations n'étaient ni facilement accessibles ni facilement compréhensibles.
Par conséquent, si vous publiez une charte de confidentialité ou une politique de protection des données sur votre site web et que vous l'utilisez comme un outil d'information, rappelez-vous de :
- NE PAS occulter le lien vers la charte de protection des données/politique de confidentialité.
- NE PAS mélanger avec d'autres informations de sorte que le lecteur ne puisse pas distinguer les éléments correspondant au traitement des données personnelles.
- NE PAS écrire avec des termes vagues, imprécis et généraux.
- NE PAS utiliser de formulations inutilement compliquées. (Pensez aux FALC ! )
Configurer correctement votre gestionnaire de cookies sur le site
La CNIL a découvert que les sites web de ces sociétés ne respectaient pas les règles relatives aux cookies. En effet, il est important de NE PAS permettre à votre site web d'installer des cookies publicitaires avant que le visiteur de votre site n'y ait consenti. Vous pouvez interroger le gestionnaire de votre site web pour savoir si votre site utilise des cookies publicitaires ou de fonctionnalités et, si c'est le cas, vous assurer qu'il a mis en place un dispositif de gestion des cookies permettant de recueillir le consentement avant le dépôt de ces cookies.
Exécuter les durées de conservation fixées
Il a été constaté que Carrefour France avait théoriquement fixé des durées de conservation, mais n'avait pas réellement supprimé les données qui avaient dépassé ces délais. Veillez à NE PAS oublier de supprimer les données de vos supports à la fin de la durée que vous avez fixée. Si vous n'avez pas encore fixé ces durées, il vous est fortement conseillé de commencer ce travail de définition des durées de conservation, en particulier avec l'aide de votre délégué à la protection des données. Si vous n'avez pas de DPD désigné, il est judicieux de faire appel à un expert ou à un délégué externe pour vous assister.
En tout état de cause, lorsque vous décidez des durées de conservation, que vous soyez ou non d'accord avec la recommandation du DPD, assurez-vous de NE PAS ignorer la proportionnalité de ces durées, en optant pour des périodes non excessives.
Répondre à toute demande d'exercice des droits du DPD
Les deux sociétés sanctionnées n'ont pas donné suite aux demandes des personnes d'exercer leurs droits. (Cliquez ici si vous voulez en savoir plus sur ces droits).
Ainsi, nous vous invitons à :
- NE PAS ignorer les demandes concernant la protection des données sous quelque forme que ce soit, qu'elles soient verbales ou écrites, adressées à un membre du personnel de terrain ou à un membre de la direction.
- NE PAS tarder à établir un premier contact avec la personne qui fait la demande afin de définir les contours de sa demande.
- NE PAS abandonner vos employés pour répondre à ces demandes seuls et sans connaissance suffisante du sujet.
- NE PAS cacher la réception de ces demandes à votre DPD.
Faciliter l'exercice des droits
Carrefour France demandait systématiquement une pièce d'identité à la personne qui faisait une demande d'exercice de droits, ce qui avait pour effet de dissuader cette personne de faire la demande ou de la rendre invalide si elle n'envoyait pas sa pièce d'identité comme l'exigent les règles extra-RGPD de Carrefour France.
Ainsi, nous vous recommandons de :
- NE PAS rendre obligatoire l'envoi d'une pièce d'identité si vous disposez de suffisamment d'éléments pour établir son identité.
- NE PAS faire traîner la réponse à une demande et ne pas dépasser le délai de 30 jours calendrier.
- NE PAS prolonger inutilement le circuit de la procédure interne d'exercice des droits.
Faites ce que vous dites et dites ce que vous faites
La société Carrefour Banque avait indiqué qu'elle ne transférait à "Carrefour Fidélité" que le nom, le prénom et l'adresse électronique lorsqu'une personne y consentait au moment de son inscription à la carte Pass.
Mais en réalité, les données transférées allaient au-delà, et comprenaient l'adresse postale, le numéro de téléphone et le numéro des enfants de ladite personne. Une telle pratique est déloyale.
Par conséquent, nous vous conseillons de NE PAS être déloyal et de NE PAS agir en contradiction avec vos propres déclarations (orales ou écrites), notamment dans le domaine des données personnelles.
Cet article pourrait vous intéresser : Amende RGPD à l'égard de l'office HLM de la métropole de Rennes