Sanction CNIL de Carrefour : une affaire riche d’enseignements

Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD :

  • 2 250 000 euros à l’encontre de CARREFOUR FRANCE (décision ici) pour des manquements en lien en lien essentiellement avec l’information des personnes, les durées de conservation et la sécurité ;
  • 800 000 euros à l’encontre de CARREFOUR BANQUE (décision à lire là) pour des manquements en lien principalement avec l’information des personnes et les cookies.

La CNIL ayant déjà résumé sa décision dans un billet sur son site internet, nous souhaitons plutôt partager avec vous notre regard expert sur ces décisions riches de rappels, mais aussi d’enseignements.

1/ Bien informer les personnes, c’est fournir une information très facilement accessible

La CNIL a reproché à Carrefour d’avoir un intitulé de politique de protection des données trop vague, et de ne pas renvoyer vers la politique en question de façon suffisamment directe dans le cadre de « l’information par strates ». Ce système, qui permet de mettre une clause menue sur un support opérationnel et de renvoyer vers un contenu RGPD plus complet, nécessite en effet de renvoyer directement vers ledit contenu complet et non simplement vers la page d’accueil du site.

L’imprécision de l’intitulé de l’onglet Protection des données bancaires figurant en pied de page du site, évoquant les données bancaires et non les données à caractère personnel, ne pouvait permettre aux personnes concernées de comprendre aisément qu’en cliquant sur ce lien elles allaient être redirigées vers la politique de confidentialité du site

2/ L’information des personnes doit être claire et simple.

« Tu as mal rangé ta chambre ». Voilà ce qu’aurait pu dire Maman CNIL à Carrefour, ce chenapan en pleine crise d’adolescence. Si l’information est disséminée sur plusieurs pages, et si des informations sont trop redondantes, ce n’est pas conforme !

Les informations […] étant dispersées et morcelées entre plusieurs documents (conditions générales d’utilisation, conditions générales de vente, page relative à la protection des données personnelles , page dédiée à l’exercice des droits), certaines informations n’étaient présentes que sur certaines pages, alors que d’autres étaient présentées plusieurs fois.

Et la CNIL de préciser plus loin : « malgré le nombre très important d’informations communiquées, ces dernières n’étaient ni hiérarchisées, ni ordonnées. L’information prenait la forme d’une longue énumération portant sur les différents points du Règlement ». En somme, si c’est visuellement la pagaille, ça l’est intellectuellement aussi !

3/ Pour être transparent vis-à-vis des clients, il faut s’exprimer sans langue de bois

En mai 2018, un discours vaseux type « nous apportons la plus grande attention à la protection de vos données », passe encore. Mais aujourd’hui il n’est plus temps du tout. On veut du vrai, du concret, du précis !

Les mentions d’information doivent s’attacher, autant que faire se peut, à utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct, mais aussi éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que nous pourrions utiliser vos donnéesune possible utilisation de vos donnéesquelques données vous concernant sont utilisées

Le régulateur des données à caractère personnel a reproché à Carrefour de ne pas préciser les durées de conservation ni même d’expliquer son mode de fonctionnement sur le sujet. La CNIL a également indiqué que les bases légales renseignées par la société étaient bien trop vagues, car trop « en lot » : « vos données pourront servir à ceci, cela, et peut-être aussi ça, etc. ». Au cas où vous n’auriez pas encore compris, on ne joue pas aux devinettes dans les mentions RGPD !

4/ Le principe de loyauté demande de la précision

La CNIL a reproché à CARREFOUR BANQUE de manquer d’honnêteté envers ses clients à propos du partage de données avec CARREFOUR FRANCE, entité du même groupe. La banque oubliait de dire qu’elle transmettait l’adresse postale, le numéro de téléphone et le nombre d’enfants aux copains d’en face.

Le rapporteur considère ainsi que la société a manqué au principe de loyauté dès lors qu’elle transmettait à la société CARREFOUR FRANCE plus de données à caractère personnel concernant les souscripteurs de la carte Pass, que celles limitativement énumérées dans le cadre du parcours de souscription en ligne.

Expliquer qu’on partage 2 ou 3 données avec « les sociétés de notre groupe » n’est donc clairement pas suffisant.

5/ On peut acheter des données, mais la transparence n’a pas de prix

Il a été reproché à CARREFOUR, dans le cadre de l’exercice d’un droit d’accès d’un client d’une société rachetée par le groupe, de ne pas avoir rappelé la provenance des données ; quand bien même tous les clients avaient été informés du rachat de la société par l’enseigne de grande distribution.

Par ailleurs les fusions et acquisitions de sociétés ne donnent pas la qualité de « primo-collectant » à la société ayant absorbé l’autre.

La formation restreinte considère que la fusion ultérieure entre le site web ooshop et le site carrefour.fr ne donne pas à la société CARREFOUR FRANCE la qualité de primo-collectant des données à caractère personnel. En effet, les données à caractère personnel ont été transmises à la société CARREFOUR FRANCE par la société OOSHOP, ce qui correspond au cas d’une collecte indirecte, les données n’ayant pas été collectées par CARREFOUR FRANCE auprès de la personne concernée.

CARREFOUR aurait donc dû rappeler l’origine des données à la personne concernée ET lui fournir l’information due en tant que collecteur indirect des données (art. 14 RGPD).

6/ En matière de droits des personnes concernées, le silence n’est pas d’or

Une personne concernée a demandé à ce que ses données soient supprimées. Etant limité pour s’exécuter pour des raisons techniques, le groupe CARREFOUR n’a pas donné suite. Il en ressort qu’il aurait dû faire l’effort de surmonter le problème technique (voir point suivant) et surtout, quand bien même c’eut été trop complexe, il eut fallu contacter la personne concernée pour échanger sur le sujet.

[…] parce que l’effacement n’était pas possible sur le fondement de l’article 17 du RGPD, il lui revenait de prendre l’attache des personnes concernées, ce qu’elle n’a pas fait en l’espèce.

7/ L’opt-out dans les emails de prospection commerciale, contrairement aux antibiotiques, c’est automatique !

CARREFOUR a fait une double boulette à l’occasion de campagnes de prospection commerciale. D’abord, la société a mis un mauvais lien de désabonnement dans un mailing à près de 350.000 personnes – excusez du peu – forçant à se connecter à un compte pour gérer le désabonnement. Problème ? De nombreux destinataires de l’email, sélectionnés par erreur, n’avaient pas de compte CARREFOUR.

Le rapporteur considère que la société a manqué à ses obligations découlant de l’article L.34-5 du code des postes et des communications électroniques dès lors qu’elle n’a pas systématiquement offert aux destinataires de ses courriels de prospection un moyen simple et effectif de se désabonner dans les courriels en question.

La seconde erreur est partagée entre CARREFOUR et son prestataire chargé de rooter des SMS commerciaux et de remonter les « STOP SMS » exprimés par les prospects. Le prestataire était chargé de faire une remontée journalière des oppositions, puis une synthèse mensuelle. Dans l’une de ces synthèses, quelques demandes ont été oubliées. Côté CARREFOUR, l’erreur était de ne jamais traiter les demandes au jour de jour et de toujours attendre la synthèse mensuelle pour agir.

Pour autant, la formation restreinte souligne que la société avait reçu cette opposition dans le cadre de la transmission au fil de l’eau et qu’elle aurait donc dû cesser toute prospection commerciale envers le plaignant.

8/ Une donnée à caractère personnel en clé primaire d’une base de données ? Mauvaise idée

La base de données de prospection commerciale de la société sanctionnée par la CNIL avait pour clé d’entrée une adresse email. Une telle architecture ne permettait donc pas, d’après CARREFOUR, de faire droit à une demande de suppression d’adresse email, puisque tout les autres données du même utilisateur auraient été impactées.

Que voilà une situation mal réfléchie d’après la CNIL ! Si l’organisation choisie ne permet pas de respecter le RGPD et n’a aucun autre fondement que « on a toujours fait comme ça », alors il faut en changer.

La formation restreinte constate que la société a fait le choix d’utiliser comme clef d’entrée de sa base de données l’adresse électronique des personnes, donc une donnée à caractère personnel. Cette décision purement pratique, sans que la conservation de la donnée en question soit justifiée par une quelconque finalité légitime au regard des éléments du dossier, ne saurait lui permettre de s’exonérer de ses obligations […].

9/ Les cookies, c’est pas de la tarte

Rien d’inédit sur le sujet. La CNIL rappelle inlassablement que seuls les cookies techniques indispensables au fonctionnement du site peuvent être déposés sans consentement préalable. Ce qui est plus intéressant, c’est que la CNIL a l’air de considérer qu’on ne peut jamais entrer dans ces exceptions lorsqu’on utilise Google Analytics, car elle n’évoque à aucun moment la possibilité de paramétrer le compte pour activer les mécanismes d’anonymisation d’adresses IP – et les avocats-conseils de CARREFOUR non plus d’ailleurs.

S’agissant de ces trois cookies, dits Google analytics, la formation restreinte souligne qu’il ne fait pas débat que les données collectées par ces cookies peuvent être recoupées avec des données […] notamment pour mener à bien de la publicité personnalisée. […] Dès lors, ces cookies n’ont pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture du service. Leur dépôt aurait donc dû obliger la société à recueillir préalablement le consentement des utilisateurs.

10/ Pour une violation de données, 4000 comptes, c’est beaucoup. Et puis c’est l’intention qui compte…

Le groupe CARREFFOUR a subi une attaque informatique ciblée sur l’une de ses applications mobiles. L’attaque n’a réussi « que » pour 4000 comptes, mais les logs prouvent que les comptes clients n’ont été « que » consultés  et « que » dans 275 cas sur 4000, sans conséquence directe pour les clients. Pour autant la CNIL estime que la société aurait dû prendre en considération les mauvaises pratiques  numériques très répandues chez les consommateurs – notamment celle d’avoir la même combinaison email et mot de passe partout – pour considérer qu’il y avait un vrai risque pour ces personnes au-delà de ce qui avait été fait ou non sur son application ; et aurait dû considérer que 4000 c’est un « grand nombre de personnes concernées » justifiant de notifier l’incident au régulateur.

La formation restreinte relève que les 4 000 comptes pour lesquels aucun accès effectif n’a été constaté mais qui ont fait l’objet d’une authentification réussie doivent être regardés comme participant à l’appréciation du risque. […] Il existait donc un risque sérieux [pour ces 4000 clients] que les attaquants ayant identifié un couple adresse électronique/mot de passe valide essaient de le réutiliser sur d’autres sites web (technique appelée credential stuffing).

La CNIL précise que « la gravité de la violation découle de l’origine à l’évidence malveillante de cette attaque » et « du grand nombre de personnes concernées ». Donc du moment que de nombreuses personnes sont concernées (et non impactées) et du moment que les intentions des attaques… sont mauvaises… il faut notifier à la CNIL!

Blague à part, il faut clairement différencier l’erreur ou le problème technique de l’attaque volontaire dans l’appréciation d’une violation de données à notifier, ou non, à la CNIL.

11/ En matière de sécurité, on ne remet pas à demain ce qu’on peut faire aujourd’hui

Pour terminer la société a été pointée du doigt pour avoir mal pris en charge une vulnérabilité connue de son site web. Lors d’un achat sur le site carrefour.fr, une facture est mise à disposition du client sur son espace personnel après la livraison de la commande ou le retrait en magasin. Cette facture était accessible par une adresse URL fixe par toute personne disposant de cette adresse, tombant dessus par hasard, ou la cherchant volontairement à l’aide d’un petit script bien senti ; sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client.

CARREFOUR a détecté la vulnérabilité, a envisagé une mesure permettant de corriger définitivement la question (rendre l’authentification obligatoire), mais a préféré remettre ces développements un peu plus lourds à plus tard et a simplement fait ajouter une chaîne de caractères aléatoires dans les URLs générées.

Or ce type de correction est de nature à fortement réduire le risque d’accès indu aux données, mais pas à le faire disparaitre.

En conséquence, la formation restreinte considère que l’absence de mise en place de l’authentification préalable obligatoire à la suite de la découverte de la vulnérabilité – alors que cette mesure avait été identifiée et qu’elle est la seule mesure permettant d’empêcher complètement le risque – constitue un manquement à l’article 32 du Règlement.