Aux termes de sa déli­bé­ra­tion du 18 novembre 2020 (n° SAN-2020–009) concer­nant Carrefour Banque (la Banque), la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une déci­sion portant amende de EUR 800’000 en appli­ca­tion du Règlement géné­ral sur la protec­tion des données (RGPD) et de la loi fran­çaise dite « infor­ma­tique et liber­tés ». La sanc­tion est assor­tie d’une mesure de publi­ca­tion nomi­na­tive de la délibération.

I. Résumé de la déci­sion de la CNIL

La Banque (déte­nue à 60% par Carrefour S.A.) opérait deux programmes de paie­ment en lien avec sa carte Pass. La société Carrefour France (déte­nue à 99.61% par Carrefour S.A.) gérait un programme permet­tant le ratta­che­ment de la carte Pass au programme de fidé­lité Carrefour.

La CNIL a sanc­tionné la Banque aux motifs suivants :

I.1. La Banque aurait manqué au prin­cipe de loyauté (art. 5 RGPD).

La CNIL déduit ce manque­ment de la trans­mis­sion à Carrefour France de davan­tage de données concer­nant les sous­crip­teurs de la carte Pass que celles limi­ta­ti­ve­ment énumé­rées lors de la sous­crip­tion en ligne. La CNIL souligne la nature « à la fois impré­cise et trom­peuse » de l’in­for­ma­tion four­nie par la Banque (Décision, § 34) et note :

• L’absence d’ex­pli­ca­tion : les personnes concer­nées n’étaient pas mises en capa­cité de comprendre que leurs données seraient trans­mises à une société tierce.
• L’indication selon laquelle seules certaines caté­go­ries de données seraient trans­mises : cette limi­ta­tion n’a pas été respec­tée en pratique, ce qui maté­ria­li­se­rait la déloyauté.

I.2. L’information aux utili­sa­teurs du site n’était pas aisé­ment acces­sible (art. 12 RGPD).

La CNIL a – à ce titre – relevé :

• l’im­pré­ci­sion décou­lant d’un onglet inti­tulé « Protection des données bancaires » sur le site de la Banque. La Banque aurait – selon la CNIL – dû clai­re­ment mention­ner les données person­nelles et non la notion – équi­voque – de « données bancaires » ;
• que la succes­sion de « clics » néces­saires pour atteindre la poli­tique de confi­den­tia­lité du site était insuf­fi­sam­ment intuitive ;
• que si des infor­ma­tions de premier niveau étaient dispo­nibles sur le site, elles manquaient de renvois vers des infor­ma­tions plus détaillées sur la protec­tion des données.

I.3. L’information déli­vrée par la Banque était impré­cise et incomplète.

La CNIL sanc­tionne la Banque au titre du carac­tère insuf­fi­sam­ment détaillé de sa poli­tique de confi­den­tia­lité quant aux durées de conser­va­tion des données.

I.4. Manquement rela­tif aux cookies

La CNIL sanc­tionne le dépôt de certains cookies sans recueil préa­lable du consen­te­ment pour­tant requis.

II. Quelques ensei­gne­ments de cette décision

II.1. Méthodologie des contrôles

La moda­lité mise en œuvre par la CNIL est celle du contrôle en ligne. Certaines analyses avaient pu souli­gner l’in­suf­fi­sance des ressources allouées aux auto­ri­tés natio­nales de contrôle et en déduire la faible proba­bi­lité statis­tique d’un contrôle. Le contrôle en ligne offre toute­fois aux auto­ri­tés de contrôle un outil économe tant en ressources finan­cières qu’hu­maines : la proba­bi­lité de contrôles s’en trouve méca­ni­que­ment accrue.

II.3. Prise en consi­dé­ra­tion des mesures correc­trices inter­ve­nues en cours de procédure 

La CNIL examine en détail les mesures correc­trices adop­tées par la Banque et ne prononce pas d’in­jonc­tion sous astreinte du fait des correc­tions inter­ve­nues. L’amende pronon­cée est cepen­dant lourde en chiffres abso­lus (EUR 800’000). Cette sévé­rité trouve appa­rem­ment sa source dans la volonté de la CNIL de sanc­tion­ner la déloyauté déce­lée (cf. supra I.1.).

II.4. Mesure de publi­cité nomi­na­tive de la délibération 

L’impact répu­ta­tion­nel de la déci­sion est accru par le carac­tère nomi­na­tif dont est assor­tie sa publication.

II.5. Détails notables de la procédure

Il convient de rele­ver ici :

• la limite dans le temps (deux ans) posée au carac­tère nomi­na­tif de la publication ;
• le refus opposé par le rappor­teur (de la CNIL) à la demande formu­lée par la Banque de le rencontrer ;
• l’ac­cueil posi­tif réservé à la demande par la Banque d’une audience à huis clos ;
• les délais liés à la crise sanitaire.

III. Remarques conclusives

Les prin­ci­paux ensei­gne­ments à tirer de cette déci­sion incluent :

• l’im­por­tance d’une formu­la­tion méti­cu­leuse des mentions du site Internet d’une entre­prise ayant pour objet de satis­faire à son obli­ga­tion d’information ;
• le carac­tère signi­fi­ca­tif de l’amende pronon­cée pour des infrac­tions rela­ti­ve­ment formelles. Cette déci­sion pour­rait marquer un renfor­ce­ment de la sévé­rité des contrôles de confor­mité au RGPD ;
• une atten­tion crois­sante peut-être portée par les auto­ri­tés de contrôle en matière de protec­tion des données au secteur bancaire. Quelques semaines après la déci­sion commen­tée, l’ho­mo­logue espa­gnol de la CNIL – l’AEPD –, semble lui avoir emboîté le pas : cette dernière a rendu le 11 décembre 2020 une déci­sion de sanc­tion à l’en­contre de la banque BBVA (amende de EUR 5’000’000 là encore prin­ci­pa­le­ment axée sur des manque­ments au devoir d’information).

En Suisse, la déci­sion ici commen­tée pour­rait préfi­gu­rer certaines évolu­tions dans la pratique du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence, parti­cu­liè­re­ment après l’en­trée en vigueur de la nouvelle LPD (nLPD) prévue en prin­cipe en 2022. La publi­ca­tion d’une « recom­man­da­tion » du Préposé est déjà possible (art. 30 al. 2 LPD actuelle) et la nLPD renforce les pouvoirs d’en­quête du Préposé. Le Préposé repren­dra-t-il au surplus certaines des exigences substan­tielles posées par la CNIL dans sa déci­sion « Carrefour Banque » ? Cette ques­tion ne manquera pas de tenir en haleine le secteur bancaire et finan­cier suisse.