Différences entre les versions de « Libre à vous ! Radio Cause Commune - Transcription de l'émission du 8 décembre 2020 »
| Ligne 55 : | Ligne 55 : | ||
<b>Frédéric Couchet : </b>Nous t’écoutons. | <b>Frédéric Couchet : </b>Nous t’écoutons. | ||
| + | |||
| + | <b>Noémie Bergez : </b>La chronique du jour est consacrée aux deux récentes décisions de la Commission nationale de l’informatique et des libertés qui ont lourdement sanctionné les sociétés Carrefour France et Carrefour Banque, filiales du groupe Carrefour, pour des manquements au Règlement général sur la protection des données. | ||
| + | |||
| + | Ce qu’il faut comprendre c’est pourquoi les deux filiales du groupe Carrefour ont été condamnées. | ||
| + | |||
| + | En réalité, ce qui s’était passé, c’est que la CNIL avait été saisie de plusieurs plaintes de particuliers. À la suite de ces plaintes, elle a organisé des enquêtes puis, à l’issue de ces enquêtes, elle a sanctionné ces deux sociétés du groupe Carrefour pour des manquements au RGPD. Lorsqu’elle a effectué ces contrôles, elle a permis à la société Carrefour, dans le cadre de ces contrôles, de faire part de ses observations. À l’issue de toute cette lourde procédure, elle a rendu ces deux décisions le 18 novembre 2020. | ||
| + | |||
| + | Ces deux sociétés : la société Carrefour France exerce dans le secteur de la grande distribution, la société Carrefour Banque exerce, quant à elle, dans le secteur bancaire traitent énormément de données à caractère personnel et la CNIL est allée rechercher si les traitements qu’elles opéraient toutes les deux étaient conformes à la réglementation applicable. | ||
| + | |||
| + | Ces deux décisions dont on parle sont marquantes parce que les enjeux financiers sont, pour le coup, sans commune mesure avec le passé. En effet, les décisions font état d’une condamnation de Carrefour France à une amende de 2 250 000 euros et pour Carrefour Banque à une amende de 800 000 euros, outre la publication des deux décisions.<br/> | ||
| + | En revanche, la CNIL n’ordonne pas d’injonction à ces deux sociétés de mettre en place des nouveaux modes de traitement ou de corriger ce qui était mal fait puisque la CNIL relève, dans ses décisions, que les deux sociétés ont fait des efforts importants pendant toute la procédure d’investigation et que finalement, elles ont fait leur mise en conformité à ce moment-là. | ||
| + | |||
| + | Sur les manquements qui leur ont été reprochés, il y a tout d’abord un manquement à l’obligation d’informer les personnes. On a considéré que les personnes dont les données étaient traitées n’étaient pas suffisamment informées.<br/> | ||
| + | On a aussi des manquements qui concernent les cookies, les petits fichiers qui sont déposés lorsqu’on consulte le site internet par exemple de Carrefour, eh bien les règles quant au consentement des personnes n’étaient pas respectées.<br/> | ||
| + | On a également un manquement qui a été relevé par la CNIL en ce qui concerne la durée de conservation des données.<br/> | ||
| + | On a aussi des manquements en ce qui concerne les droits d’exercice des personnes et le respect des droits des personnes, qui sont directement prévus par le Réglement général sur la protection des données.<br/> | ||
| + | Enfin, on a un manquement à l’obligation de traiter les données de manière loyale. | ||
| + | |||
| + | Il faut se plonger dans la lecture de ces deux décisions pour comprendre un petit peu ce qui s’est passé. En fait, il y a deux décisions, une qui concerne Carrefour France et une qui concerne Carrefour Banque. | ||
| + | |||
| + | Pour la société Carrefour France, entre 2018 et 2019, CNIL a reçu 15 plaintes de particuliers qui se plaignaient par exemple de prospection commerciale qui était faite malgré leur opposition, de refus de faire droit à des demandes d’effacement de leurs données ou encore des demandes qu’ils avaient formulées auprès de Carrefour France dont ils n’avaient pas eu de suite.<br/> | ||
| + | À la suite de ces 15 plaintes, la CNIL décide d’organiser des contrôles. Elle fait des contrôles en ligne, directement sur les sites internet de Carrefour, mais également sur place, là elle se rend sur place et elle vient étudier la manière dont les données sont traitées.<br/> | ||
| + | À l’issue de ces contrôles un certain nombre de manquements sont relevés. Comme je disais tout à l’heure, il y avait un manquement à l’obligation de conserver les données pour une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées. C’est le principe sur les durées de conservation : quand on collecte des données, il faut prévoir des durées de conservation, on ne peut pas les conserver de manière illimitée. Là, la CNIL relève que la société carrefour ne respectait même pas les durées de conservation qu’elle avait elle-même fixées. Ce qui signifie que de nombreuses données de clients qu’on appelait des clients inactifs étaient collectées et conservées depuis entre cinq et dix ans, ce qui était évidemment beaucoup trop puisque la société Carrefour avait elle-même indiqué que les durées de conservation était de quatre années. Là on était au-delà des quatre années.<br/> | ||
| + | Ce qui est intéressant dans la décision et ça, ça intéressera quand même un grand nombre de sociétés, c’est que la CNIL va considérer que la durée de quatre ans pour de la prospection commerciale, donc que la durée de quatre ans pour conserver les données pour de la prospection commerciale est une durée qui est excessive. Ça nous permet, en fait, de nous donner une petite référence sur les durées de conservation. Ça c’était pour le premier point sur la durée de conservation. | ||
| + | |||
| + | Ensuite on avait également des reproches qui concernaient les modalités d’exercice des droits, puisque quand nos données à caractère personnel sont traitées on a la possibilité, dans certains cas, de pouvoir demander à accéder à des informations sur les données qui sont collectées. Évidemment ce n’est pas dans tous les cas, mais dans certains cas cela s’applique. Quand la société Carrefour France recevait une telle demande, systématiquement elle demandait un justificatif d’identité pour toutes les demandes d’exercice de droit, qui n’est d’ailleurs pas prévu tel quel dans le RGPD. Il est prévu que lorsqu’il existe un doute sur l’identité des personnes, on a la possibilité de demander un justificatif, mais cette demande ne doit pas se faire de manière systématique. Ici la CNIL reproche à la société Carrefour d’avoir utilisé ce moyen de contrainte systématique pour, finalement, entraver un peu l’exercice de ces droits. Donc là-dessus, elle considère qu’il y a une violation.<br/> | ||
| + | Ce qu’elle note également, d’ailleurs pour chacun des manquements, dans ses décisions elle relève que la société Carrefour a engagé d’importants moyens pour faire les modifications nécessaires pour sa mise en conformité en cours de la procédure. Là-dessus elle le relève également.<br/> | ||
| + | Ce qu’elle reproche aussi concernant les modalités d’exercice des droits, c’est que normalement lorsqu’on fait une demande de l’exercice d’un droit et que, légitimement on a le droit à avoir notre réponse, il est souvent prévu dans le RGPD un délai dans lequel le responsable de traitement doit nous répondre. Ici, en fait ce que la CNIL a relevé, c’est que des demandes qui avaient été formulées n’avaient pas encore eu de réponse et étaient au-delà du délai qui est prévu par le RGPD qui est normalement d’un mois et qui peut être prolongé de deux mois supplémentaires dans certaines conditions. Là-dessus, évidemment la CNIL sanctionne. | ||
| + | |||
| + | Un autre manquement concerne l’information des personnes. Là, la CNIL a considéré que la politique de confidentialité sur les sites internet et que toutes les mentions d’information pour justement expliquer aux personnes ce qui était fait de leurs données, ce qui se passait avec leurs données, n’étaient pas suffisamment compréhensibles et accessibles. Elle considère donc sur ce point-là que Carrefour France a manqué à une information des personnes qui soit conforme au RGPD. Elle retient donc une faute, tout en relevant toujours qu’en cours de procédure la société a fait des modifications nécessaires pour rendre plus accessibles les informations qui concernaient les personnes. | ||
| + | |||
| + | Sur le droit d’accès, elle constate également un manquement puisqu’elle a constaté qu’effectivement beaucoup de personnes avaient exercé leur faculté de droit d’accès et qu’elles n’avaient pas reçu de réponse. | ||
| + | |||
| + | Un autre point important, c’est le droit à l’effacement. Indépendamment du droit d’accès, indépendamment du droit d’opposition, on a ce qu’on appelle le droit à l’effacement qui permet, dans certains cas, de demander à ce que les données qui sont collectées sur nous soient ensuite effacées. Là, elle a relevé également que la société n’avait fait droit à certaines demandes de droit d’effacement. Dans ce cadre-là, elle constate que depuis la société a rectifié son erreur, mais elle relève tout de même qu’il y a eu un manquement à cet égard. | ||
| + | |||
| + | Ensuite, il y a également des manquements qui concernaient l’opposition. Dans certains cas on peut s’opposer au traitement de ses données à caractère personnel, notamment, par exemple, à des fins de prospection commerciale. Là-dessus la CNIL a relevé que la société Carrefour avait reçu des demandes d’opposition de personnes qui ne voulaient plus recevoir de publicité par SMS par exemple et, pour le coup, ça n’avait pas été pris en compte en raison, notamment, d’erreurs techniques ponctuelles. Ce qu’a relevé la CNIL, c’est que la société Carrefour avait fait la mise en conformité nécessaire pendant la procédure, mais évidemment c’était tardif puisque l’enquête était déjà en cours. Donc ces manquements apparaissent dans la décision. | ||
| + | |||
| + | Il y avait également d’autres manquements qui concernaient la sécurité des données. Sur ce point-là, elle considérait que la société Carrefour France n’avait pas respecté son obligation de sécurité. | ||
| + | |||
| + | Autre point important, la société avait fait l’objet d’une attaque informatique en juillet 2019 et n’avait pas jugé utile de faire ce qu’on appelle la notification de la violation auprès de la CNIL. En effet, le RGPD prévoit que dans certains cas, lorsqu’un responsable de traitement, voire un sous-traitant, subit une attaque informatique, il doit normalement faire une notification auprès de la CNIL pour informer la CNIL qu’il y a eu une violation des données. Il ne doit le faire que dans le cas où la violation est susceptible d’engendrer un risque pour les droits et les libertés des personnes physiques. En fait, la formulation est assez large et elle encadre quand même un grand nombre de violations. Sur ce point-là, la CNIL relève qu’il y avait eu 4000 authentifications qui avaient été obtenues à la suite de ce piratage informatique et que, dans ce cadre-là, il aurait dû y avoir une notification auprès de la CNIL, ce qui n’a pas été le cas. Là-dessus la CNIL sanctionne également la société Carrefour France. | ||
| + | |||
| + | Il y avait également des manquements à l’utilisation des cookies. La société utilisait des cookies sur son site carrefour.fr et également sur le site carrefour-banque.fr. La CNIL a constaté qu’il y avait des cookies qui étaient déposés de manière automatique, sans recueil du consentement de l’utilisateur, ce qui est une violation ; cette fois-ci ce n’est pas dans le RGPD, mais c’est dans la loi informatique et libertés, c’est l’article 82. On en a déjà parlé en septembre sur les cookies. La CNIL relève que la société Carrefour aurait dû demander le consentement avant de déposer les cookies, donc il y a également une violation de la réglementation applicable. | ||
| + | |||
| + | C’est vrai que les décisions sont assez intéressantes en termes de mesure. Pour la Société Carrefour France on a une amende qui s’élève à 2 250 000 euros. Pourquoi une telle amende ? La CNIL, pour prononcer cette amende, va d’abord regarder le chiffre d’affaires de la société qui s’élève en 2019 à 14, 9 milliards d’euros. Donc elle considère, au regard de cette activité et au regard du nombre et de la gravité des manquements qui ont été constatés, qu’une telle amende est proportionnée et justifiée. C’est pour ça qu’elle la prononce.<br/> | ||
| + | Ensuite, elle va également s’attacher à vérifier s’il est nécessaire de publier la décision ou pas. Elle considère, encore une fois au regard de la situation, que la publication pendant une durée de deux ans est justifiée et nécessaire. | ||
| + | |||
| + | Ça c’était pour la première décision. | ||
| + | |||
| + | Sur la seconde décision pour Carrefour Banque, c’est à peu près le même raisonnement. Il y a juste une chose en plus, c’est qu’elle a constaté un manquement à l’obligation de traiter les données de manière loyale. En fait, là elle reproche à la société Carrefour Banque d’avoir collecté des données et d’avoir informé les personnes qu’elle allait transférer une partie de leurs données à une autre entité. En réalité, lors de son contrôle, la CNIL s’est rendu compte qu’elle transférait plus de données que ce qu’elle avait indiqué. Pour elle, ça constitue un manquement à l’obligation de traiter les données de manière loyale. Et pour d’autres manquements, au total la société Carrefour Banque est condamnée, quant à elle, à une sanction de 800 000 euros d’amende et pareil, publication de la décision que la CNIL considère comme juste et proportionnée. | ||
| + | |||
| + | Ces deux décisions nous rappellent quand même que le sujet de la protection des données est essentiel et qu’il faut le traiter, qu’il faut veiller à sa conformité parce que dans le cas d’un contrôle, la CNIL va aller vérifier que chacune des obligations est correctement respectée.<br/> | ||
| + | C’est une décision qui apporte beaucoup d’éléments intéressants sur, justement, chacun des manquements. On s’aperçoit que la CNIL prend quand même en considération que la mise en conformité peut se faire aussi, quand on n’a pas le choix, au moment du contrôle. Il n’empêche que même si à l’issue du contrôle la mise en conformité est faite, elle sanctionne quand même les manquements passés. C’est pour ça que c’est un sujet qui est à traiter et on s’aperçoit que les amendes commencent aujourd’hui à devenir quand même assez importantes. On verra ce que sera la suite des contrôles et des décisions qui seront rendues en la matière, mais il est sûr, au fur et à mesure, qu’on va pouvoir mieux affiner nos recommandations sur la matière grâce aux décisions qui nous éclairent bien.<br/> | ||
| + | J’en aurais terminé pour cette présentation de ces deux décisions. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Merci de la présentation de ces deux décisions, Noémie. La transcription de ton intervention sera bientôt disponible sur le site de l’April pour les gens qui voudront se plonger dedans, avec les références qui sont déjà sur april.org et sur causecommune.fm.<br/> | ||
| + | Je te souhaite de passer une belle fin d’année et on se retrouve en 2021 pour une plus belle année si possible, ce ne sera pas difficile ! | ||
| + | |||
| + | <b>Noémie Bergez : </b>Oui. Espérons-le. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Bonne fin de journée. À bientôt Noémie. | ||
| + | |||
| + | <b>Noémie Bergez : </b>Merci. Au revoir à tous. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Au revoir. C’était la chronique « In code we trust » de Noémie Bergez. Comme on vient de parler de Carrefour, on va quand même faire un grand remerciement aux personnes qui bossent chez Carrefour, notamment pendant les périodes de confinement et déconfinement et si Carrefour voulait vraiment positiver, elle augmenterait ces personnes de façon substantielle. Voilà ! | ||
| + | |||
| + | Nous allons passer à une pause musicale. | ||
| + | |||
| + | [Virgule musicale] | ||
| + | |||
| + | Aujourd’hui notre programmateur musical Éric Fraudain, du site Au Bout Du Fil, auboutdufil.com, nous fait découvrir l’artiste américain Michael Hernandez, originaire de Zephyrhills en Floride, qui est un passionné de musique électronique et de jeux vidéo. Son nom d’artiste c’est Blue Navi.<br/> | ||
| + | On va écouter <em>Starcade</em> par Blue Navi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune, la voix des possibles. | ||
| + | |||
| + | <b>Pause musicale : </b><em>Starcade</em> par Blue Navi. | ||
| + | |||
| + | <b>Voix off : </b> | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Nous avons écouté partiellement parce qu’elle est assez longue et nous souhaitons laisser le maximum de temps aux interventions suivantes <em>Starcade</em> par Blue Navi, disponible sous licence libre Creative Commons Partage dans les mêmes conditions, CC By SA. Vous retrouverez les références sur causecommune.fm et sur april.org et vous trouverez sur le site auboutdufilm.com une présentation de cet artiste. | ||
| + | |||
| + | Vous écoutez l’émission <em>Libre à vous !</em> sur radio Cause commune, la voix de possibles, 93.1 FM en Île-de-France et en DAB+ et partout dans le monde sur le site causecommune.fm. | ||
| + | |||
| + | Nous allons passer au sujet suivant. | ||
| + | |||
| + | [Virgule musicale] | ||
| + | |||
| + | ==Geotrek, suite logicielle libre pour gérer et valoriser sentiers et activités touristiques, avec Camille Monchicourt, responsable du pôle Système d'informations au Parc national des Écrins et animateur du projet Geotrek, Amandine Sahl, administratrice du système d'informations Parc national des Cévennes, et Jean-Christophe Becquet vice-président de l'April== | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Nous allons poursuivre | ||
Version du 10 décembre 2020 à 08:34
Titre : Émission Libre à vous ! diffusée mardi 8 décembre 2020 sur radio Cause Commune
Intervenant·e·s : Noémie Bergez - Camille Monchicourt - Amandine Sahl - Jean-Christophe Becquet - Isabelle Carrère - Frédéric Couchet- Étienne Gonnu à la régie
Lieu : Radio Cause Commune
Date : 8 décembre 2020
Durée : 1 h 30 min
Écouter ou enregistrer le podcast PROVISOIRE
Page des références utiles concernant cette émission
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Frédéric Couchet : Geotrek, suite logicielle libre pour gérer et valoriser sentiers et activités touristiques c’est le sujet principal de l’émission du jour. Avec également au programme « La CNIL force Carrefour à positiver sur la protection des données » et aussi la chronique d’Antanak sur le thème « libérer aussi des pratiques ». Nous allons parler de tout cela dans l’émission du jour.
Vous êtes sur la radio Cause Commune, la voix des possibles, 93.1 en Île-de-France et en DAB+ et partout dans le monde sur le site causecommune.fm.
Soyez les bienvenus pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre. Je suis Frédéric Couchet, le délégué général de l’April.
Le site web de l’association c’est april.org, vous pouvez y trouver une page consacrée à l’émission avec les liens et références utiles et aussi les moyens de nous contacter. N’hésitez pas à nous faire des retours ou nous poser toute question.
Nous sommes mardi 8 décembre 2020, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
À la réalisation de l’émission aujourd’hui mon collègue Étienne Gonnu. Bonjour Étienne.
Étienne Gonnu : Salut Fred.
Frédéric Couchet : Si vous voulez réagir, poser une question pendant ce direct, n’hésitez pas à vous connecter sur le salon web de la radio. Pour cela rendez-vous sur le site de la radio, causecommune.fm, cliquez sur le bouton « chat » et retrouvez-nous sur le salon dédié à l’émission.
Nous vous souhaitons une excellente écoute.
Nous allons passer directement au premier sujet de l’après-midi.
[Virgule musicale]
Chronique « In code we trust » de Noémie Bergez, avocate au cabinet Dune : « La CNIL force Carrefour à positiver sur la protection des données »
Frédéric Couchet : Évoquer, le code à la main, une règle de droit ou un procès en lien avec les œuvres, les données, les logiciels ou les technologies, c’est la chronique « In code we trust », « Dans le code nous croyons », de Noémie Bergez, avocate au cabinet Dune. Le thème du jour : la CNIL force Carrefour à positiver sur la protection des données .
Bonjour Noémie.
Noémie Bergez : Bonjour Fred. Bonjour à toutes et à tous.
Frédéric Couchet : Nous t’écoutons.
Noémie Bergez : La chronique du jour est consacrée aux deux récentes décisions de la Commission nationale de l’informatique et des libertés qui ont lourdement sanctionné les sociétés Carrefour France et Carrefour Banque, filiales du groupe Carrefour, pour des manquements au Règlement général sur la protection des données.
Ce qu’il faut comprendre c’est pourquoi les deux filiales du groupe Carrefour ont été condamnées.
En réalité, ce qui s’était passé, c’est que la CNIL avait été saisie de plusieurs plaintes de particuliers. À la suite de ces plaintes, elle a organisé des enquêtes puis, à l’issue de ces enquêtes, elle a sanctionné ces deux sociétés du groupe Carrefour pour des manquements au RGPD. Lorsqu’elle a effectué ces contrôles, elle a permis à la société Carrefour, dans le cadre de ces contrôles, de faire part de ses observations. À l’issue de toute cette lourde procédure, elle a rendu ces deux décisions le 18 novembre 2020.
Ces deux sociétés : la société Carrefour France exerce dans le secteur de la grande distribution, la société Carrefour Banque exerce, quant à elle, dans le secteur bancaire traitent énormément de données à caractère personnel et la CNIL est allée rechercher si les traitements qu’elles opéraient toutes les deux étaient conformes à la réglementation applicable.
Ces deux décisions dont on parle sont marquantes parce que les enjeux financiers sont, pour le coup, sans commune mesure avec le passé. En effet, les décisions font état d’une condamnation de Carrefour France à une amende de 2 250 000 euros et pour Carrefour Banque à une amende de 800 000 euros, outre la publication des deux décisions.
En revanche, la CNIL n’ordonne pas d’injonction à ces deux sociétés de mettre en place des nouveaux modes de traitement ou de corriger ce qui était mal fait puisque la CNIL relève, dans ses décisions, que les deux sociétés ont fait des efforts importants pendant toute la procédure d’investigation et que finalement, elles ont fait leur mise en conformité à ce moment-là.
Sur les manquements qui leur ont été reprochés, il y a tout d’abord un manquement à l’obligation d’informer les personnes. On a considéré que les personnes dont les données étaient traitées n’étaient pas suffisamment informées.
On a aussi des manquements qui concernent les cookies, les petits fichiers qui sont déposés lorsqu’on consulte le site internet par exemple de Carrefour, eh bien les règles quant au consentement des personnes n’étaient pas respectées.
On a également un manquement qui a été relevé par la CNIL en ce qui concerne la durée de conservation des données.
On a aussi des manquements en ce qui concerne les droits d’exercice des personnes et le respect des droits des personnes, qui sont directement prévus par le Réglement général sur la protection des données.
Enfin, on a un manquement à l’obligation de traiter les données de manière loyale.
Il faut se plonger dans la lecture de ces deux décisions pour comprendre un petit peu ce qui s’est passé. En fait, il y a deux décisions, une qui concerne Carrefour France et une qui concerne Carrefour Banque.
Pour la société Carrefour France, entre 2018 et 2019, CNIL a reçu 15 plaintes de particuliers qui se plaignaient par exemple de prospection commerciale qui était faite malgré leur opposition, de refus de faire droit à des demandes d’effacement de leurs données ou encore des demandes qu’ils avaient formulées auprès de Carrefour France dont ils n’avaient pas eu de suite.
À la suite de ces 15 plaintes, la CNIL décide d’organiser des contrôles. Elle fait des contrôles en ligne, directement sur les sites internet de Carrefour, mais également sur place, là elle se rend sur place et elle vient étudier la manière dont les données sont traitées.
À l’issue de ces contrôles un certain nombre de manquements sont relevés. Comme je disais tout à l’heure, il y avait un manquement à l’obligation de conserver les données pour une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées. C’est le principe sur les durées de conservation : quand on collecte des données, il faut prévoir des durées de conservation, on ne peut pas les conserver de manière illimitée. Là, la CNIL relève que la société carrefour ne respectait même pas les durées de conservation qu’elle avait elle-même fixées. Ce qui signifie que de nombreuses données de clients qu’on appelait des clients inactifs étaient collectées et conservées depuis entre cinq et dix ans, ce qui était évidemment beaucoup trop puisque la société Carrefour avait elle-même indiqué que les durées de conservation était de quatre années. Là on était au-delà des quatre années.
Ce qui est intéressant dans la décision et ça, ça intéressera quand même un grand nombre de sociétés, c’est que la CNIL va considérer que la durée de quatre ans pour de la prospection commerciale, donc que la durée de quatre ans pour conserver les données pour de la prospection commerciale est une durée qui est excessive. Ça nous permet, en fait, de nous donner une petite référence sur les durées de conservation. Ça c’était pour le premier point sur la durée de conservation.
Ensuite on avait également des reproches qui concernaient les modalités d’exercice des droits, puisque quand nos données à caractère personnel sont traitées on a la possibilité, dans certains cas, de pouvoir demander à accéder à des informations sur les données qui sont collectées. Évidemment ce n’est pas dans tous les cas, mais dans certains cas cela s’applique. Quand la société Carrefour France recevait une telle demande, systématiquement elle demandait un justificatif d’identité pour toutes les demandes d’exercice de droit, qui n’est d’ailleurs pas prévu tel quel dans le RGPD. Il est prévu que lorsqu’il existe un doute sur l’identité des personnes, on a la possibilité de demander un justificatif, mais cette demande ne doit pas se faire de manière systématique. Ici la CNIL reproche à la société Carrefour d’avoir utilisé ce moyen de contrainte systématique pour, finalement, entraver un peu l’exercice de ces droits. Donc là-dessus, elle considère qu’il y a une violation.
Ce qu’elle note également, d’ailleurs pour chacun des manquements, dans ses décisions elle relève que la société Carrefour a engagé d’importants moyens pour faire les modifications nécessaires pour sa mise en conformité en cours de la procédure. Là-dessus elle le relève également.
Ce qu’elle reproche aussi concernant les modalités d’exercice des droits, c’est que normalement lorsqu’on fait une demande de l’exercice d’un droit et que, légitimement on a le droit à avoir notre réponse, il est souvent prévu dans le RGPD un délai dans lequel le responsable de traitement doit nous répondre. Ici, en fait ce que la CNIL a relevé, c’est que des demandes qui avaient été formulées n’avaient pas encore eu de réponse et étaient au-delà du délai qui est prévu par le RGPD qui est normalement d’un mois et qui peut être prolongé de deux mois supplémentaires dans certaines conditions. Là-dessus, évidemment la CNIL sanctionne.
Un autre manquement concerne l’information des personnes. Là, la CNIL a considéré que la politique de confidentialité sur les sites internet et que toutes les mentions d’information pour justement expliquer aux personnes ce qui était fait de leurs données, ce qui se passait avec leurs données, n’étaient pas suffisamment compréhensibles et accessibles. Elle considère donc sur ce point-là que Carrefour France a manqué à une information des personnes qui soit conforme au RGPD. Elle retient donc une faute, tout en relevant toujours qu’en cours de procédure la société a fait des modifications nécessaires pour rendre plus accessibles les informations qui concernaient les personnes.
Sur le droit d’accès, elle constate également un manquement puisqu’elle a constaté qu’effectivement beaucoup de personnes avaient exercé leur faculté de droit d’accès et qu’elles n’avaient pas reçu de réponse.
Un autre point important, c’est le droit à l’effacement. Indépendamment du droit d’accès, indépendamment du droit d’opposition, on a ce qu’on appelle le droit à l’effacement qui permet, dans certains cas, de demander à ce que les données qui sont collectées sur nous soient ensuite effacées. Là, elle a relevé également que la société n’avait fait droit à certaines demandes de droit d’effacement. Dans ce cadre-là, elle constate que depuis la société a rectifié son erreur, mais elle relève tout de même qu’il y a eu un manquement à cet égard.
Ensuite, il y a également des manquements qui concernaient l’opposition. Dans certains cas on peut s’opposer au traitement de ses données à caractère personnel, notamment, par exemple, à des fins de prospection commerciale. Là-dessus la CNIL a relevé que la société Carrefour avait reçu des demandes d’opposition de personnes qui ne voulaient plus recevoir de publicité par SMS par exemple et, pour le coup, ça n’avait pas été pris en compte en raison, notamment, d’erreurs techniques ponctuelles. Ce qu’a relevé la CNIL, c’est que la société Carrefour avait fait la mise en conformité nécessaire pendant la procédure, mais évidemment c’était tardif puisque l’enquête était déjà en cours. Donc ces manquements apparaissent dans la décision.
Il y avait également d’autres manquements qui concernaient la sécurité des données. Sur ce point-là, elle considérait que la société Carrefour France n’avait pas respecté son obligation de sécurité.
Autre point important, la société avait fait l’objet d’une attaque informatique en juillet 2019 et n’avait pas jugé utile de faire ce qu’on appelle la notification de la violation auprès de la CNIL. En effet, le RGPD prévoit que dans certains cas, lorsqu’un responsable de traitement, voire un sous-traitant, subit une attaque informatique, il doit normalement faire une notification auprès de la CNIL pour informer la CNIL qu’il y a eu une violation des données. Il ne doit le faire que dans le cas où la violation est susceptible d’engendrer un risque pour les droits et les libertés des personnes physiques. En fait, la formulation est assez large et elle encadre quand même un grand nombre de violations. Sur ce point-là, la CNIL relève qu’il y avait eu 4000 authentifications qui avaient été obtenues à la suite de ce piratage informatique et que, dans ce cadre-là, il aurait dû y avoir une notification auprès de la CNIL, ce qui n’a pas été le cas. Là-dessus la CNIL sanctionne également la société Carrefour France.
Il y avait également des manquements à l’utilisation des cookies. La société utilisait des cookies sur son site carrefour.fr et également sur le site carrefour-banque.fr. La CNIL a constaté qu’il y avait des cookies qui étaient déposés de manière automatique, sans recueil du consentement de l’utilisateur, ce qui est une violation ; cette fois-ci ce n’est pas dans le RGPD, mais c’est dans la loi informatique et libertés, c’est l’article 82. On en a déjà parlé en septembre sur les cookies. La CNIL relève que la société Carrefour aurait dû demander le consentement avant de déposer les cookies, donc il y a également une violation de la réglementation applicable.
C’est vrai que les décisions sont assez intéressantes en termes de mesure. Pour la Société Carrefour France on a une amende qui s’élève à 2 250 000 euros. Pourquoi une telle amende ? La CNIL, pour prononcer cette amende, va d’abord regarder le chiffre d’affaires de la société qui s’élève en 2019 à 14, 9 milliards d’euros. Donc elle considère, au regard de cette activité et au regard du nombre et de la gravité des manquements qui ont été constatés, qu’une telle amende est proportionnée et justifiée. C’est pour ça qu’elle la prononce.
Ensuite, elle va également s’attacher à vérifier s’il est nécessaire de publier la décision ou pas. Elle considère, encore une fois au regard de la situation, que la publication pendant une durée de deux ans est justifiée et nécessaire.
Ça c’était pour la première décision.
Sur la seconde décision pour Carrefour Banque, c’est à peu près le même raisonnement. Il y a juste une chose en plus, c’est qu’elle a constaté un manquement à l’obligation de traiter les données de manière loyale. En fait, là elle reproche à la société Carrefour Banque d’avoir collecté des données et d’avoir informé les personnes qu’elle allait transférer une partie de leurs données à une autre entité. En réalité, lors de son contrôle, la CNIL s’est rendu compte qu’elle transférait plus de données que ce qu’elle avait indiqué. Pour elle, ça constitue un manquement à l’obligation de traiter les données de manière loyale. Et pour d’autres manquements, au total la société Carrefour Banque est condamnée, quant à elle, à une sanction de 800 000 euros d’amende et pareil, publication de la décision que la CNIL considère comme juste et proportionnée.
Ces deux décisions nous rappellent quand même que le sujet de la protection des données est essentiel et qu’il faut le traiter, qu’il faut veiller à sa conformité parce que dans le cas d’un contrôle, la CNIL va aller vérifier que chacune des obligations est correctement respectée.
C’est une décision qui apporte beaucoup d’éléments intéressants sur, justement, chacun des manquements. On s’aperçoit que la CNIL prend quand même en considération que la mise en conformité peut se faire aussi, quand on n’a pas le choix, au moment du contrôle. Il n’empêche que même si à l’issue du contrôle la mise en conformité est faite, elle sanctionne quand même les manquements passés. C’est pour ça que c’est un sujet qui est à traiter et on s’aperçoit que les amendes commencent aujourd’hui à devenir quand même assez importantes. On verra ce que sera la suite des contrôles et des décisions qui seront rendues en la matière, mais il est sûr, au fur et à mesure, qu’on va pouvoir mieux affiner nos recommandations sur la matière grâce aux décisions qui nous éclairent bien.
J’en aurais terminé pour cette présentation de ces deux décisions.
Frédéric Couchet : Merci de la présentation de ces deux décisions, Noémie. La transcription de ton intervention sera bientôt disponible sur le site de l’April pour les gens qui voudront se plonger dedans, avec les références qui sont déjà sur april.org et sur causecommune.fm.
Je te souhaite de passer une belle fin d’année et on se retrouve en 2021 pour une plus belle année si possible, ce ne sera pas difficile !
Noémie Bergez : Oui. Espérons-le.
Frédéric Couchet : Bonne fin de journée. À bientôt Noémie.
Noémie Bergez : Merci. Au revoir à tous.
Frédéric Couchet : Au revoir. C’était la chronique « In code we trust » de Noémie Bergez. Comme on vient de parler de Carrefour, on va quand même faire un grand remerciement aux personnes qui bossent chez Carrefour, notamment pendant les périodes de confinement et déconfinement et si Carrefour voulait vraiment positiver, elle augmenterait ces personnes de façon substantielle. Voilà !
Nous allons passer à une pause musicale.
[Virgule musicale]
Aujourd’hui notre programmateur musical Éric Fraudain, du site Au Bout Du Fil, auboutdufil.com, nous fait découvrir l’artiste américain Michael Hernandez, originaire de Zephyrhills en Floride, qui est un passionné de musique électronique et de jeux vidéo. Son nom d’artiste c’est Blue Navi.
On va écouter Starcade par Blue Navi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune, la voix des possibles.
Pause musicale : Starcade par Blue Navi.
Voix off :
Frédéric Couchet : Nous avons écouté partiellement parce qu’elle est assez longue et nous souhaitons laisser le maximum de temps aux interventions suivantes Starcade par Blue Navi, disponible sous licence libre Creative Commons Partage dans les mêmes conditions, CC By SA. Vous retrouverez les références sur causecommune.fm et sur april.org et vous trouverez sur le site auboutdufilm.com une présentation de cet artiste.
Vous écoutez l’émission Libre à vous ! sur radio Cause commune, la voix de possibles, 93.1 FM en Île-de-France et en DAB+ et partout dans le monde sur le site causecommune.fm.
Nous allons passer au sujet suivant.
[Virgule musicale]
Geotrek, suite logicielle libre pour gérer et valoriser sentiers et activités touristiques, avec Camille Monchicourt, responsable du pôle Système d'informations au Parc national des Écrins et animateur du projet Geotrek, Amandine Sahl, administratrice du système d'informations Parc national des Cévennes, et Jean-Christophe Becquet vice-président de l'April
Frédéric Couchet : Nous allons poursuivre
