La CNIL vient de prononcer une sanction d'un montant de 2.250.000 € à l'égard de la société CARREFOUR France pour différents manquements au RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données).

Vous pouvez consulter la délibération de la CNIL du 18 novembre 2020 publié le 26 novembre dernier en suivant le lien ci-contre : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756 , ainsi que le commentaire qui en est fait par la CNIL sur son site https://www.cnil.fr/fr/sanctions-2250000-euros-et-800000-euros-pour-carrefour-france-carrefour-banque

Cette première décision de sanction à l'égard d'un acteur de la grande distribution est pleine d'enseignements. Il apparaît intéressant de s'attarder sur deux d'entre eux.

Le premier enseignement qu'il est possible d'en tirer vise les praticiens rédacteurs de conditions générales. En effet, la CNIL insiste, ce qu'elle ne cesse de rappeler par ailleurs, sur le fait que les informations relatives à la collecte et au traitement des données personnelles doivent être :

  • aisément consultables (point 58 et suivants de la délibération))
  • ne pas être noyées parmi d'autres informations (point 60) d'où la nécessité de construire des conditions générales d'utilisation et/ou de vente spécifiques en matière de données personnelles
  • rédigées en termes courts et compréhensibles (points 65 et suivants).

Le second enseignement est à destination de tout à chacun et en particulier des consommateurs.

En effet, de nouveau cette décision démontre, s'il en était besoin, que les droits garantis par le RGPD (accès, rectification, portabilité etc.) ne sont pas théoriques, mais bel et bien concrets.

Il est intéressant de retenir que parmi les saisines de la CNIL qui ont initiées la procédure d'enquête et au final abouti à la sanction prononcée, certaines émanaient de consommateurs ayant demandé soit l'accès à leurs données, soit l'effacement de leur données sans qu'il y soit fait droit (points 7 & 8).

La CNIL rappelle que le responsable de traitement doit agir avec la plus grande diligence et en tout état de cause dans le délai d'un mois prévu par le RGPD (point 45). De même, l'exercice desdits droits doit être facilité et ne pas être rendu difficile notamment par des vérifications d'identité trop poussées par exemple.

Cela signifie concrètement, que c'est le sujet même des données collectées, c'est à dire vous et moi, consommateurs, qui sommes en capacité de rendre effectif le RGPD et donc la protection de nos données.

Cela signifie encore que l'exercice concret de nos droits peut nous rendre acteurs et donc nosu permettre à nous consommateurs d'inverser le rapport de force vis à vos des responsables de traitement en demandant que la collecte ait une contrepartie concrète par exemple.

En effet, titulaires que nous sommes de cartes de fidélités dans ces enseignes, nous devrions envisager d'exercer régulièrement nos droits pour accéder aux informations collectées sur nous par les distributeurs et ainsi accéder à une meilleurs connaissance de nos habitudes de consommations pour le cas échéant les modifier en fonction de nos besoins (consommation responsable, régime alimentaire etc.).

C'est là une perspective particulièrement intéressante.