A seguito di diversi reclami nei confronti del gruppo CARREFOUR, il CNIL (Commission Nationale de l’Informatique et des Libertés) – Garante francese – ha effettuato dei controlli, tra maggio e luglio 2019, presso le società CARREFOUR FRANCE (settore retail) e CARREFOUR BANQUE (settore bancario). Dai controlli ha riscontrato carenze nel trattamento dei dati dei clienti e dei potenziali utenti. Il presidente della CNIL ha quindi deciso di avviare un procedimento sanzionatorio nei confronti di queste società.

Al termine di questa procedura, il comitato ristretto – l’organo della CNIL responsabile per l’imposizione delle sanzioni – ha effettivamente ritenuto che le società non fossero riuscite a soddisfare diversi obblighi previsti dal GDPR.

Ha quindi sanzionato la società CARREFOUR FRANCE con una multa di 2.250.000 euro e la società CARREFOUR BANQUE con una multa di 800.000 euro. Tuttavia, non ha emesso un’ingiunzione quando ha rilevato che sforzi significativi avevano consentito il rispetto di tutte le violazioni individuate.

Tra le violazioni riscontrate:

  • Mancata informativa sul trattamento dei dati (art. 13 GDPR)
  • Violazioni relative ai cookie (articolo 82 della legge sulla protezione dei dati)
  • Mancato rispetto dell’obbligo di limitazione del periodo di conservazione dei dati (art. 5.1.e del GDPR)
  • Mancata agevolazione dell’esercizio dei diritti (art. 12 GDPR)
  • Mancato rispetto dei diritti (articoli 15, 17 e 21 del GDPR e L 34-5 del Codice postale e delle comunicazioni elettroniche)
  • Mancato rispetto a trattare i dati in modo corretto (articolo 5 del GDPR)

(Vai alla pagina CNIL)