C’est ce jeudi 26 novembre 2020 que la CNIL a publié sur son site ses décisions de sanctionner les sociétés Carrefour France (2 250 000 €) et Carrefour Banque (800 000 €).
Saisie de plusieurs plaintes, la CNIL a réalisé après des deux sociétés des contrôles entre mai et juillet 2019, à la suite desquels plusieurs manquements au Règlement Général sur la Protection des Données ( RGPD) ont été constatés :
- manquements à l’obligation d’information (information difficile d’accès, difficilement compréhensible ou incomplète) ;
- mise en œuvre des cookies avant le recueil du consentement ;
- conservation trop longue de certaines données, ou durées de conservation non appliquées ;
- absence d’anonymisation des données transférées ou périmées ;
- demande de pièce justificative d’identité à chaque demande de droit ;
- non-respect de certains droits des personnes concernées ;
- manquement à l’information du transfert de données.
Se prononçant régulièrement au travers de son site Internet, ou de questions / réponses auprès d’organismes publics et privés, la CNIL a déjà rappelé qu’il ne pouvait être exigé à un demandeur de droit un justificatif d’identité, sauf lorsqu’il existait un doute raisonnable sur son identité (exiger un justificatif d’identité doit donc rester exceptionnel).