Carrefour a fost sancționat cu peste 3 milioane de euro de autorități pentru încălcarea GDPR
8 minute • Bianca Vîlsănescu • 27 noiembrie 2020
Carrefour sancționat de autorități pentru încălcarea GDPR
CNIL (autoritatea privind protecția datelor din Franța) a pronunțat o sancțiune severă de 2,25 milioane de euro împotriva Carrefour și 800.000 de euro pentru divizia sa Carrefour Banque. Faptele reclamate au fost îndreptate de atunci de către companie care s-a plâns totodată de prejudiciul financiar adus.
Amenda este neașteptată pentru grupul Carrefour. Sesizată cu mai multe plângeri, CNIL a anunțat o sancțiune împotriva a două diviziuni ale grupului Carrefour pentru mai multe încălcări ale GDPR, referitoare în special la informațiile furnizate terților și la încălcarea drepturile prevăzute de GDPR. Această sancțiune a costat scump grupul, obligat să plătească o amendă de 2,25 milioane de euro la care se adaugă un cec de 800.000 de euro revendicat de diviziunea sa Carrefour Banque. Trebuie remarcat faptul că aceste decizii ale CNIL pot fi atacate la Consiliul de stat.
Diviziune a grupului Carrefour, Carrefour Banque oferă o gamă largă de produse accesibile și eficiente de aproape 40 de ani, adaptate așteptărilor clienților și consumatorilor: card MasterCard PASS, cont curent, credit revolving, împrumut personal, răscumpărare împrumut, economii , asigurare auto și locuință, asigurare complementară de sănătate etc.
Fiind vorba de un sector cu impact semnificativ, care cuprinde Carrefour, și sectorul bancar fiind vorba aici de Carrefour Banque, aceste două entități au arătat deficiențe în procesarea datelor clienților și potențialilor utilizatori, fapt concluzionat de autoritatea de reglementare după verificări efectuate în perioada mai – iulie 2019.
Într-un mesaj postat pe Twitter în urma acestei decizii, Carrefour se asigură că aceste nereguli nu se referă la „date sensibile”, că daunele sunt „foarte limitate” și că grupul „nu a obținut niciun beneficiu financiar din aceasta.”.
La décision de la CNIL concerne des défaillances passées et isolées. Elles sont aujourd’hui entièrement corrigées. Le Groupe accusait en effet en 2018 un retard en matière digitale qui avait été diagnostiqué lors du lancement du plan Carrefour 2022.
— Carrefour (@CarrefourFrance) November 26, 2020
Încălcări raportate în ceea ce privește informarea persoanelor și cookie-urile
CNIL acuză că au fost prezentate informații care „nu erau ușor accesibile” (accesul la informație era prea complicat, în documente foarte lungi care conțineau și alte informații) sau „ușor de înțeles” (informațiile erau scrise în termeni impreciși, uneori cu formulări complicate fără să fie cazul) pentru utilizatorii site-urilor carrefour.fr și carrefour-banque.fr, precum și pentru viitorii membri ai programului de loialitate sau Pass card. CNIL constată că informațiile furnizate „în termeni generali și impreciși” au fost, de asemenea, „incomplete în ceea ce privește durata păstrării datelor”.
Informațiile de pe site-ul carrefour.fr au fost, de asemenea, „insuficiente în ceea ce privește transferurile de date în afara Uniunii Europene și baza legală pentru prelucrare”. Cu privire la aceste puncte, CNIL precizează că „companiile și-au modificat notificările de informații și site-urile web în timpul procedurii pentru a se conforma”.
CNIL a remarcat, de asemenea, alte încălcări legate de cookie-uri, care au fost plasate automat pe terminalul utilizatorului conectat la site-urile grupului până ca acesta să facă vreo acțiune. Pe de altă parte, „mai multe dintre aceste cookie-uri erau folosite pentru publicitate, iar consimțământul utilizatorului trebuie să fie primit înainte de instalarea cookie-urilor”, precizează autoritatea de supraveghere. Companiile au indicat că și-au schimbat modul de funcționare a site-urilor web pentru a se alinia la reglementările europene cu privire la acest aspect, și la acest moment nu mai există cookie-uri care să fie instalate fără acordul utilizatorilor.
Datele erau păstrate prea mult timp
Și lista plângerilor continuă. Carrefour France este, de asemenea, acuzată că nu a respectat perioadele de păstrare a datelor stabilite de aceasta. Astfel, a păstrat datele a peste 28 de milioane de clienți inactivi timp de 5-10 ani ca parte a programului său de loialitate. CNIL subliniază în acest sens că compania a angajat în timpul procedurii „resurse semnificative pentru a face modificările necesare pentru a o aduce la conformitate cu GDPR”. Toate datele prea vechi au fost șterse de către Carrefour conform prevederilor GDPR.
Încălcarea drepturilor clienților de dezabonare sau de acces la date
La plângeri se adaugă mai multe încălcări ale drepturilor clienților. În ancheta CNIL se pare că Carrefour nu a răspuns mai multor cereri din partea persoanelor care doresc să-și acceseze datele personale și nici nu a șters datele la solicitarea mai multor persoane când a fost necesar. În cele din urmă, compania este criticată pentru faptul că nu a luat în considerare mai multe cereri din partea persoanelor care s-au opus primirii publicității prin SMS sau e-mail.
Cu privire la exercitarea dreptului de acces, Carrefour cerea persoanelor o ”dovadă a identității” pentru a procesa cererea, lucru care nu era necesar având în vedere că nu exista niciun dubiu cu privire la identitatea persoanei, în modalitatea în care era conceput flow-ul. În ceea ce privește toate aceste aspecte, compania a eliminat aceste nerespectări în prezent.
Încălcarea obligației de a trata datele echitabil
În plus, grupul și-a revizuit complet procedura de abonament online la cardul Pass (un card de credit care putea fi atașat la contul de loialitate), după ce CNIL l-a acuzat că a abuzat de prelucrarea datelor anumitor utilizatori. Atunci când un client abonat la cardul Pass a dorit să se alăture și programului de loialitate al mărcii, a trebuit să bifeze o căsuță care să indice că a acceptat ca Carrefour Banque să comunice către „Carrefour fidelity” numele, prenumele și adresa de e-mail. Totodată, CNIL a menționat că alte date, cum ar fi adresa poștală, numărul de telefon și numărul telefonic al copiilor erau transmise în acest fel.
Ca răspuns la aceste acuzații, Carrefour spune că acum respectă în totalitate GDPR. Decizia CNIL se referă la „eșecurile trecute și izolate” care sunt astăzi „pe deplin corectate”. Când a fost introdus GDPR în 2018, grupul se confrunta cu o „întârziere în materie digitală care a fost corectata odată cu planul Carrefour 2022”. Un sondaj efectuat în primăvara anului trecut susține acest punct, dezvăluind că multe companii încă se luptă să își respecte conformitatea cu reglementarea europeană privind datele private.
Ce trebuie să reținem din amenda Carrefour?
- Cu excepția cookie-urilor necesare fără de care altfel site-ul nu poate funcționa, nu putem instala alte tipuri de cookieuri fără consimțământul expres al utilizatorului
- În momentul în care există o procedură de acces, este indicat să procedăm la verificarea identității persoanei care face acea cerere, dar numai în cazul în care identitatea nu poate fi stabilită de la bun început. În cazul în care identitatea poate fi verificată de la bun început pentru că așa am implementat procesul, nu putem să refuzăm să dăm acces unor persoane la datele lor personale pe motivul că solicităm verificarea identității
- Atunci când persoanele solicită să se dezaboneze de la comunicările cu caracter comercial trebuie să facem imediat acest lucru
- Nu trebuie să păstrăm datele pentru o perioadă mai lungă de timp decât ne este necesar pentru deplinirea activității noastre
- Nota de informare către persoanele vizate nu trebuie scrisă într-un limbaj academic sau pompos, ci dimpotrivă, trebuie scrisă într-un limbaj care să fie cât mai accesibil și ușor de înțeles
- Nota de informare cu privire la prelucrarea datelor personale este un document complet separat, de sine stătător, independent de orice alt document care se regăsește între tine și relația cu persoana vizată. Așadar, nota de informare nu poate face parte dintr-un document cum ar fi termeni și condiții sau politica comercială a băncii.
Decizia poate fi accesată aici și în versiunea integrală aici și aici.
Amenzile pe GDPR pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri. Înțelege GDPR și folosește-l în avantajul tău. Oferim servicii de consultanță, implementare, DPO și training.
Sursă foto: Carrefour Facebook