Archive

Droit de la régulation bancaire

Première banque sanctionnée pour des manquements liés au RGPD

Créé le

14.12.2020

Après avoir été saisie de multiples plaintes et mené une procédure de sanction, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi 26 novembre 2020, avoir sanctionné le groupe Carrefour de deux amendes administratives visant deux de ses filiales, Carrefour France et Carrefour Banque. Le « gendarme » des données affirme avoir constaté pas moins de six violations, notamment du Règlement général sur la protection des données (RGPD). Cette chronique revient sur la décision du 18 novembre 2020 intéressant la Société Carrefour Banque qui est condamnée, pour sa part, à une amende administrative de 800 000 euros pour des manquements aux articles 5, 12 et 13 du RGPD, mais aussi à l'article 82 de la loi informatique et libertés.

Première banque sanctionnée pour des manquements liés au RGPD
Jean-Philippe Kovar
  • Professeur Université de Strasbourg
Jérôme Lasserre Capdeville
  • Maître de conférences HDR Université de Strasbourg

Il n’est pas fréquent qu’une banque fasse l’objet d’une sanction de la part de la CNIL [1] . La délibération rendue par cette dernière le 18 novembre 2020 contre Carrefour Banque attire par conséquent l’attention. Il en va d’autant plus ainsi que cette dernière est fondée pour partie sur des manquements au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, c’est-à-dire le « RGPD ».

La société Carrefour Banque est une filiale détenue à 40 % par la société BNP Paribas SA et à 60 % par la société Carrefour SA. Il s’agit d’un établissement bancaire ayant pour activités principales le crédit à la consommation, mais aussi la gestion de portefeuilles et le courtage en assurance ainsi que les services d’investissement. Dans le cadre de ses activités, la société commercialise une carte de paiement destinée aux clients du groupe Carrefour (carte Pass), qui peut être rattachée au programme de fidélité du groupe.

Les services de la CNIL ont alors procédé à un contrôle en ligne, le 5 juillet 2019, relatif au site carrefour-banque.fr et aux traitements mis en œuvre à partir de ce site ainsi qu’à un contrôle sur place dans les locaux de la société Carrefour S.A., le 9 juillet 2019, relatif aux traitements concernant la carte Pass. Ces missions avaient pour objet de vérifier, notamment, le respect, par la société, de l’ensemble des dispositions du RGPD, et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, c’est-à-dire la loi « informatique et libertés ».

Or, plusieurs manquements ont été, à cette occasion, relevés par les services de la CNIL. Ils concernent les articles 5, 12 et 13 du RGPD, mais aussi l’article 82 de la loi informatique et libertés. La formation restreinte de la Commission, organe disposant de pouvoir de sanctions, a donc l’occasion de se prononcer sur ceux-ci.

Le manquement à l’obligation de traiter les données de manière loyale

Aux termes de l’article 5, paragraphe 1, a), du RGPD : « Les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».

Or il ressort des constatations effectuées par la délégation de contrôle que lorsqu’un souscripteur d’une carte de paiement (carte Pass) souhaitait également adhérer au programme de fidélité Carrefour, la société Carrefour Banque transmettait à la société Carrefour France, en plus des nom, prénom et adresse électronique du souscripteur de la carte Pass, son adresse postale ainsi que son ou ses numéros de téléphone. En outre, lorsqu’elle disposait de ces informations, elle renseignait aussi la société Carrefour France sur le nombre d’enfants déclarés par le souscripteur.

Le rapporteur de la Commission avait considéré que la société manquait ici au principe de loyauté dès lors qu’elle transmettait à la société Carrefour France plus de données à caractère personnel concernant les souscripteurs de la carte Pass que celles limitativement énumérées dans le cadre du parcours de souscription en ligne.

En l’occurrence, la formation restreinte de la CNIL relève, pour sa part, que la société Carrefour Banque mentionne « Carrefour Fidélité » comme destinataire des données communiquées alors même que ce service, rattaché à la société Carrefour France, n’avait, avant cette mention, jamais été présenté aux souscripteurs de la carte Pass. Ainsi, les personnes concernées ne pouvaient comprendre d’elles-mêmes que leurs données à caractère personnel étaient en fait communiquées à une société tierce, la société Carrefour France (§35). Ensuite, la formation restreinte considère que l’information fournie aux personnes concernées était trompeuse et déloyale dès lors que la société avait expressément indiqué, dans cette même mention d’information, qu’elle « s’engage[ait] à ne transmettre aucune autre information à Carrefour Fidélité » que les noms, prénoms et adresse électronique des souscripteurs à la carte Pass alors même que tel n’était précisément pas le cas (§36). Le manquement à l’article 5, paragraphe 1, a), du RGPD est donc jugé constitué.

Le manquement à l’accessibilité de l’information sur le traitement des données

L’article 12 du Règlement dispose que : « le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […] ». Dit autrement, les assujettis doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données.

Or, le rapporteur avait estimé que, tel qu’il ressortait des constatations effectuées par la délégation lors du contrôle en ligne, l’information mise à disposition des utilisateurs du site carrefour-banque.fr par le biais de différents canaux, n’était pas aisément accessible au sens de l’article 12 précité.

En l’espèce, la formation restreinte considère, d’abord, que l’imprécision de l’intitulé de l’onglet « Protection des données bancaires » figurant en pied de page du site, évoquant les données bancaires et non les données à caractère personnel, ne pouvait permettre aux personnes concernées de comprendre aisément qu’en cliquant sur ce lien elles allaient être redirigées vers la politique de confidentialité du site, comportant les informations relatives au traitement de leurs données à caractère personnel (§48). Ensuite, s’agissant du second canal d’information, les utilisateurs du site carrefour-banque.fr ne pouvaient deviner d’eux-mêmes que le lien renvoyant vers la politique de confidentialité du site était inséré dans les mentions légales du site (§49). Il en résultait, par conséquent que l’information fournie aux utilisateurs du site carrefour-banque.fr n’était pas aisément accessible.

Le manquement au contenu de l’information sur le traitement des données

L’article 13 du Règlement dresse la liste des informations devant être communiquées aux personnes concernées lorsque les données à caractère personnel sont collectées auprès d’elles.

Ici, la formation restreinte rappelle, au préalable, qu’aux termes de l’article 13, paragraphe 2, a) du Règlement, le responsable du traitement doit fournir à la personne concernée les informations relatives à « la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée » (§63)

Elle procède alors à une double observation. En premier lieu, elle déclare que l’emploi de formules vagues et non définies telles que « les délais de prescription légale applicables » ou « la conservation de vos données par Carrefour Banque varie selon les réglementations et lois applicables » ou encore des expressions « à titre d’exemple » ou de l’adverbe « notamment » rendaient nécessairement confuse pour les personnes concernées la compréhension de l’étendue et de la nature des données conservées ainsi que des durées de conservation appliquées à ces données (§65). En second lieu, elle considère que l’information était également incomplète dans la mesure où la société négligeait de préciser les durées de conservation applicables à toutes les données traitées ou ne précisait pas les critères utilisés pour déterminer ces durées. De même, elle ne précisait pas non plus les durées de conservation des données collectées par les cookies. Un manquement à l’article 13 du Règlement était, par conséquent, également constitué.

Le manquement relatif aux cookies

L’article 82 de la loi informatique et libertés impose que les utilisateurs soient informés et que leur consentement soit recueilli avant toute opération d’accès ou d’inscription à des informations déjà stockées dans leur équipement. Tout dépôt de cookie ou autre traceur doit donc être précédé de l’information et du consentement des utilisateurs. Une exception existe cependant : cette exigence ne s’applique pas aux cookies ayant « pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ou étant « strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » .

Le rapporteur de la Commission avait considéré que la société ne respectait pas ces dispositions dès lors qu’il avait été constaté lors du contrôle en ligne qu’en arrivant sur le site web carrefour-banque.fr, plusieurs cookies ne rentrant pas dans les deux cas rappelés précédemment étaient déposés sur le terminal de l’utilisateur dès la connexion à la page d’accueil du site et avant toute action de sa part. La société ne contestait pas ces éléments.

La formation restreinte, quant à elle, relève que le dépôt de trente et un cookies était automatique dès l’arrivée sur la page d’accueil du site et avant toute action de l’utilisateur (§72). Surtout, cinq de ces cookies n’avaient ni pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ni n’étaient strictement nécessaires à la fourniture d'un service expressément demandé par l’utilisateur (§73). La formation restreinte considère donc qu’un manquement à l’article 82 de la loi informatique et libertés était constitué (§76).

Au final, la formation restreinte de la CNIL prononce à l’encontre de la société Carrefour Banque une amende administrative d’un montant de 800 000 euros [2] pour les manquements précités [3] et rend publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, (qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication).

Cette décision est importante. Il est connu que, plus de deux ans après l’entrée en vigueur du RGPD [4] , beaucoup de grands groupes industriels français ne sont pas encore en conformité avec la nouvelle réglementation [5] . La délibération du 18 novembre 2020 démontre qu’il en va de même pour certains établissements de crédit. Il y a fort à parier que la publicité entourant cette décision encouragera l’ensemble d’entre eux à être, désormais, en parfaite conformité avec le RGPD.

 

 

1 V. cependant, CNIL, délib. n° 2006-174, 28 juin 2006 : RD banc. fin. 2006, comm. 177, obs. E. Caprioli ; Gaz. Pal. 2007, p. 3333, obs. F. Boucard. – CNIL, délib. n° 2006-245, 23 nov. 2006 : RD banc. fin. 2007, comm. 195, obs. E. Caprioli. – CNIL, délib. n° 2013-173, 19 juin 2013 : Gaz. Pal. 2013, p. 3817, obs. J. Morel-Maroger ; LEDB sept. 2013, p. 7, obs. J. Lasserre Capdeville. – CNIL, délib. n° 2014-299, 7 août 2014 : Gaz. Pal., 28 oct. 2014, n° 301, p. 28, obs. J. Morel-Maroger. – CNIL, formation restreinte, 26 janv. 2017, n° SAN-2017-001 : LEDB mai 2017, p. 4, obs. J. Lasserre Capdeville ; Gaz. Pal. 2017, n° 22, p. 83, obs. J. Morel-Maroger.
2 Ce montant, qui ne représenterait que 0,25% du produit net bancaire de l’établissement concerné, apparaît à la fois « effectif, proportionné et dissuasif », conformément aux exigences de l’article 83, §1, du RGPD.
3 La formation restreinte note notamment la parfaite coopération de la société tout au long de la procédure de sanction « et les efforts très importants engagés afin d’atteindre une conformité totale au jour de la séance » (§86). Les manquement relevés étaient ainsi corrigés au moment où la CNIL a statué.
4 Il est entré en vigueur le 25 mai 2018.
5 C’est ainsi que Carrefour France a été, pour sa part, condamnée à payer une amende administrative de 2 250 000 d’euros, CNIL, formation restreinte, n° SAN-2020-008, 18 novembre 2020, Société Carrefour France.

À retrouver dans la revue
Revue Banque Nº851
Notes :
1 V. cependant, CNIL, délib. n° 2006-174, 28 juin 2006 : RD banc. fin. 2006, comm. 177, obs. E. Caprioli ; Gaz. Pal. 2007, p. 3333, obs. F. Boucard. – CNIL, délib. n° 2006-245, 23 nov. 2006 : RD banc. fin. 2007, comm. 195, obs. E. Caprioli. – CNIL, délib. n° 2013-173, 19 juin 2013 : Gaz. Pal. 2013, p. 3817, obs. J. Morel-Maroger ; LEDB sept. 2013, p. 7, obs. J. Lasserre Capdeville. – CNIL, délib. n° 2014-299, 7 août 2014 : Gaz. Pal., 28 oct. 2014, n° 301, p. 28, obs. J. Morel-Maroger. – CNIL, formation restreinte, 26 janv. 2017, n° SAN-2017-001 : LEDB mai 2017, p. 4, obs. J. Lasserre Capdeville ; Gaz. Pal. 2017, n° 22, p. 83, obs. J. Morel-Maroger.
2 Ce montant, qui ne représenterait que 0,25% du produit net bancaire de l’établissement concerné, apparaît à la fois « effectif, proportionné et dissuasif », conformément aux exigences de l’article 83, §1, du RGPD.
3 La formation restreinte note notamment la parfaite coopération de la société tout au long de la procédure de sanction « et les efforts très importants engagés afin d’atteindre une conformité totale au jour de la séance » (§86). Les manquement relevés étaient ainsi corrigés au moment où la CNIL a statué.
4 Il est entré en vigueur le 25 mai 2018.
5 C’est ainsi que Carrefour France a été, pour sa part, condamnée à payer une amende administrative de 2 250 000 d’euros, CNIL, formation restreinte, n° SAN-2020-008, 18 novembre 2020, Société Carrefour France.