Op 26 november 2020 maakte de Franse equivalent van de Autoriteit Persoonsgegevens, de CNIL (Commission Nationale de l’Informatique et des Libertés), bekend dat aan twee onderdelen van het bekende Carrefour boetes zijn opgelegd wegens overtreding van de AVG. Aan Carrefour France is een boete van € 2.250.000,00 opgelegd en aan Carrefour Banque een boete van € 800.000,00. De boetes zijn opgelegd vanwege meer dan tien overtredingen op het gebied van transparantie, informatievoorziening, bewaartermijnen en het waarborgen van rechten van betrokkenen.
Aanleiding
De CNIL kwam de overtredingen in 2019 op het spoor door meerdere klachten van klanten van Carrefour France. Als gevolg daarvan zijn tussen mei en juli 2019 controles uitgevoerd bij deze Carrefour-entiteiten. Bij die controles werden diverse gebreken vastgesteld op het gebied van de verwerking van (potentiële) klant- en gebruikersgegevens. Dat heeft de CNIL doen besluiten een sanctieprocedure te starten. Een verkorte weergave van die Franse procedure kunt u hier vinden.
Voor Carrefour Banque lag de aanleiding niet in klachten, maar in een eigen onderzoek van de CNIL. In juli 2019 heeft de CNIL zowel een online als een fysieke controle uitgevoerd. Dit zag op de verwerking van gegevens op de website van Carrefour Banque en de verwerking van gegevens van de zogenaamde Pass-kaart van Carrefour, een soort creditcard. Deze controles vormden aanleiding de sanctieprocedure ook hier te starten.
In de sanctieprocedures zijn de geconstateerde tekortkomingen door een rapporteur onderzocht. De rapporteur heeft zijn bevindingen op 10 januari 2020 aan Carrefour per deurwaarder bekend gemaakt. Carrefour kreeg daarbij de gelegenheid op het rapport te reageren. Er zijn diverse overtredingen geconstateerd door de rapporteur. Deze stelt daarom aan de CNIL voor om Carrefour een last onder dwangsom op te leggen om de overtredingen te beëindigen en daarnaast een boete op te leggen.
Overtredingen en oordeel CNIL
Hierna wordt voor Carrefour France en Carrefour Banque afzonderlijk besproken welke overtredingen van de AVG zijn geconstateerd.
Carrefour France
Voor wat Carrefour France betreft, gaat het ten eerste om overtreding van artikel 5 lid 1 sub e AVG, het niet langer bewaren van gegevens dan noodzakelijk. Carrefour bewaarde de gegevens van loyaliteitsklanten vier jaar na hun laatste activiteit. Deze termijn wordt door de CNIL als buitensporig aangemerkt. Voor dit soort klanten zou een termijn van drie jaar meer op zijn plaats zijn. Het verloop van dergelijke klanten is namelijk snel en vluchtig.
Op dit punt luidt het tweede verwijt dat Carrefour zich niet aan haar eigen bewaartermijn (van toen nog vier jaar) hield. De rapporteur heeft geconstateerd dat inactieve klanten nog langer dan vier jaar voorkwamen in de databases. Het ging om meer dan 28 miljoen (!) klanten die nog vijf tot tien jaar inactief waren. Van 750.000 daarvan werden gegevens bewaard. De CNIL constateert wel dat Carrefour er blijk van heeft gegeven zich tot het uiterste in te spannen deze inbreuk van artikel 5 lid 1 sub e AVG ongedaan te maken.
Ten derde verwijt de rapporteur Carrefour dat er kopieën van identiteitsdocumenten voor een periode van één tot zes jaar werden bewaard. Die periode acht de CNIL met de rapporteur onredelijk. Het ging daarbij om identiteitsdocumenten voor de identificatie van iemand die een recht onder de AVG wenste uit te oefenen (artikel 12 lid 6 AVG). Carrefour is gehouden deze documenten direct na vaststelling van de identiteit van een verzoeker te verwijderen. Het lang bewaren daarvan is in strijd met artikel 5 lid 1 sub e AVG. Ook op dit punt geeft de CNIL aan dat Carrefour heeft aangetoond zich gedurende de sanctieprocedure hieraan is gaan voldoen.
In navolging van het vorige punt merkt de rapporteur ten vierde op dat het vaste praktijk was bij Carrefour om van elk verzoeker op grond van de AVG een identiteitsdocument op te vragen. Deze systematische uitvraag is disproportioneel volgens de CNIL omdat niet in alle gevallen reden bestaat aan de identiteit van een verzoeker te twijfelen. Dit wordt als overtreding van artikel 12 AVG aangemerkt. Ook dit punt heeft Carrefour aangepast.
De rapporteur stelt ten vijfde vast dat Carrefour structureel te laat is met het beantwoorden van verzoeken. De reactietijd varieert, maar kan oplopen tot negen maanden zonder dat de verzoeker hierover wordt geïnformeerd. De CNIL stelt vast dat hiermee opnieuw artikel 12 AVG is overtreden, ondanks de verbeteringen die Carrefour op dat punt heeft doorgevoerd. Carrefour reageert nu gemiddeld binnen vijftien dagen (!).
Het zesde verwijt dat de rapporteur Carrefour maakt, betreft het informeren van betrokkenen. De rapporteur constateert dat de informatie op de site van Carrefour niet gemakkelijk toegankelijk is, vanwege de veelheid aan te raadplegen pagina’s, links op verschillende pagina’s en overtollige informatie. De CNIL is het daarmee eens, ook al is een gelaagde informatievoorziening toegestaan (zie overweging 39 AVG). Zij merkt subtiel op dat de gebruiker bijzonder vastbesloten moest zijn om toegang te krijgen tot alle relevante informatie. Dat baseert zij niet enkel op de veelheid en beschikbaarheid van informatie, maar ook op het taalgebruik. Dat is onnodig complicerend. Carrefour voldoet hiermee niet aan artikel 12 en 13 AVG.
In hetzelfde kader van transparantie constateert de CNIL ten zevende dat de door Carrefour verstrekte informatie ook nog eens onvolledig is. Onjuist of niet volledig is Carrefour over de identiteit van de verwerkingsverantwoordelijke, de grondslagen voor de verwerking, de doorgifte aan andere landen en de bewaartermijnen. Ook dat is een inbreuk op artikel 12 en 13 AVG, hoewel de CNIL onderstreept dat Carrefour inmiddels voldoet.
Ten achtste constateert de CNIL een individueel geval waarin een verzoek ten onrechte niet de herkomst van over hem verzamelde gegevens werd gemeld ex artikel 15 lid 1 sub g AVG. Carrefour meende dat de gegevens direct bij de betrokkene waren verzameld en daardoor deze informatie niet verstrekt hoefde worden. Dat is juridisch correct, maar duidelijk werd dat er ook indirecte verzameling plaats had gevonden.
Ten negende heeft de rapporteur bemerkt dat diverse klanten moeite ondervonden bij het uitoefenen van hun recht op verwijdering van gegevens, met name bij het verwijderen van het e-mailadres voor het ontvangen van commerciële mailing. De feitelijke reden was dat het e-mailadres van gebruikers als klantcode was gehanteerd. Verwijdering van het e-mailadres was daarom niet mogelijk. Deze structuur was inmiddels aangepast. Ook bij een aantal andere verzoeken zijn (incidentele) fouten vastgesteld die ertoe leiden dat gegevens ten onrechte niet gewist werden. Carrefour heeft hiermee artikel 17 AVG overtreden. Zeker waar het gaat om verwijdering van gegevens voor direct marketing, dat moet immers altijd direct gedaan worden.
Vervolgens is er nog een tiende overtreding. Diverse gebruikers meldden zich namelijk af voor het ontvangen van commerciële berichten, maar ontvingen die berichten vervolgens alsnog. Deze fout komt volgens Carrefour voort uit het feit dat de derde partij die dit beheert, de bezwaren niet doorgaf aan Carrefour. Dat maakt echter niet dat geen sprake is van een overtreding, meer specifiek van artikel 21 AVG.
De elfde overtreding die wordt geconstateerd is er een op het gebied van beveiliging. De rapporteur constateert dat na een online bestelling de aankoopfactuur met een vast URL-adres voor iedereen toegankelijk is. Dat is volgens de CNIL een schending van artikel 32 AVG, ook al heeft Carrefour inmiddels een willekeurige tekenreeks aan de URL toegevoegd en een authenticatiemechanisme ingevoerd.
Als twaalfde stelt de CNIL ten slotte vast dat Carrefour een datalek ten onrechte niet heeft gemeld. Het gaat om een hackaanval uit juli 2019. Carrefour meende dat de aanval geen inbreuk vormde op de rechten van betrokken personen, omdat er slechts op 275 klantaccounts ingebroken kon worden en klanten geen opgebouwde tegoeden zijn verloren. De CNIL deelt deze beoordeling niet, onder meer omdat wel 4.000 succesvolle authenticaties plaatsvonden. Dat vormt een risico voor verdere inbreuken, hetzij bij Carrefour hetzij elders via credential stuffing.
Carrefour Banque
Bij de bancaire tak van de Carrefour-groep gaat het ten eerste om een overtreding van artikel 5 lid 1 sub a AVG. Daarbij gaat het erom dat Carrefour Banque onduidelijke en misleidende informatie verschafte bij deelname aan het loyaliteitsprogramma van Carrefour. Carrefour vermeldt namelijk niet dat persoonsgegevens van klanten gedeeld worden met Carrefour France. Daarnaast was de opsomming van aan derden verstrekte persoonsgegevens incompleet.
Ten tweede constateert de CNIL dat ook de site van Carrefour Banque onvoldoende toegankelijk is voor een gebruiker. De privacyverklaring is slecht vindbaar en incompleet. Gebruikers moeten ook hier vasthoudend zijn alle informatie te vinden. Daarnaast waren de bewaartermijnen onduidelijk. Vooral omdat Carrefour met name juridische formules gebruikte, zoals ‘de toepasselijke wettelijke verjaringstermijnen’. De CNIL merkt dit aan als overtreding van artikel 13 AVG.
Als derde overtreding signaleert de CNIL dat Carrefour een vijftal niet noodzakelijke, tracking cookies op haar site hanteert. Die worden geplaatst voor enige actie van de gebruiker. Dat acht de CNIL in strijd met de Franse cookiewetgeving.
Sancties
Carrefour France
De CNIL besluit geen last onder dwangsom aan Carrefour op te leggen. Dat acht zij niet nodig, omdat Carrefour gedurende de sanctieprocedure heeft aangetoond alle overtredingen te hebben beëindigd. Carrefour heeft zichzelf daarmee een dienst bewezen.
Wel is de CNIL van mening dat vastgestelde overtredingen, ook al zijn ze hersteld, een boete rechtvaardigen. Voor de hoogte wordt overwogen dat het overgrote deel van de overtredingen het gevolg van zijn nalatigheid, incidentele fouten en onvoldoende implementeren van de AVG. De meeste overtredingen hebben slechts beperkte gevolgen. De CNIL is erover te spreken dat Carrefour perfect heeft meegewerkt gedurende het onderzoek. De CNIL merkt op dat de getroffen persoonsgegevens geen gevoelige gegevens zijn. En Carrefour heeft volgens de CNIL ook geen voordeel gehad bij de overtredingen.
De techniek voor de berekening van de boetehoogte baseert de CNIL op artikel 83 lid 5 AVG. Daarin is opgenomen dat bij ondernemingen naar de jaaromzet gekeken moet worden. Die stelt de CNIL voor de Carrefour France-groep vast op 14,9 miljard euro in 2019. De omzet is voor de CNIL echter niet alleen leidend. Zij wijst erop dat de retail zich kenmerkt door extreem grote volumes en lage marges. De omzet is dan wel bijzonder hoog, maar de nettowinst in verhouding laag. Dat maakt – zonder dat verder voor te rekenen – dat de CNIL de boete vaststelt op € 2.250.000,00.
Als derde deel van de sanctie bepaalt de CNIL nog dat het boetebesluit met alle overwegingen gedurende twee jaar openbaar gepubliceerd moet worden. Na die periode zal de naam Carrefour uit de publicatie verwijderd worden.
Carrefour Banque
Ook voor Carrefour Banque ziet de CNIL geen aanleiding een last onder dwangsom op te leggen. Carrefour heeft de overtredingen namelijk ook al ongedaan gemaakt. Het online inschrijvingsproces voor de Pass-kaart is volledig herzien en gebruikers worden nu geïnformeerd over alle gegevens die naar Carrefour France worden verstuurd.
Maar, er blijft reden om de geconstateerde overtredingen te bestraffen. Het enkele beëindigen daarvan is onvoldoende. Daarbij neemt zij in acht dat de aard, ernst en duur van de overtreding fors is. Het gebrek aan transparantie is een overtreding van de basisbeginselen van artikel 5 AVG. De overtreding had ook effect voor een groot aantal mensen, namelijk alle Pass-kaart abonnees. Ook hier weegt de CNIL de grote inspanningen van Carrefour als verzachtende omstandigheid mee.
De CNIL komt tot een boete van € 800.000,00. De CNIL licht toe dat het gaat om 0,25% van het netto bankinkomen in 2018 (308 miljoen euro). Gelet op de financiële draagkracht en de in de vorige alinea genoemd zaken acht de CNIL € 800.000,00 een effectief, evenredig en afschrikwekkend boetebedrag.
Ook dit boetebesluit zal ten slotte gedurende twee jaar met naam en toenaam gepubliceerd moeten worden. Dat is onder meer om (potentiële) klanten te informeren over de (bestrafte) inbreuken.
Auteur: lessen voor de (Nederlandse) praktijk
De overwegingen van de CNIL geven inzicht in de toets die wordt gehanteerd door de Franse toezichthouder. Omdat de AVG een Europees wettelijk kader vormt, kan de uitleg van een buitenlandse toezichthoud ook de Nederlandse praktijk kleuren. Een aantal lessen kunnen hieruit getrokken worden:
- Gelaagde privacyverklaringen zijn toegestaan, maar moeten voldoende duidelijk, toegankelijk en eenvoudig blijven.
- Het is onvoldoende te volstaan met een algemene opsomming van de gehanteerde grondslagen. De grondslagen moeten aan specifieke verwerkingen gekoppeld worden.
- Bij de begroting van de jaaromzet rekent de CNIL ook met de jaaromzet van dochtervennootschappen van Carrefour France die van de inbreuken profiteerden op grond van het Europese mededingingsrecht (artikel 101 en 102 VWEU, overweging 150 AVG en uitspraken van het Hof van Justitie van de EU C-217/05 en T-265/12).
- Een bewaartermijn van drie jaar wordt door de CNIL als redelijk geacht. Zij verwijst daarvoor naar een niet-bindende aanbeveling hierover. Dat vormt voor de CNIL een bruikbare referentie.
- Voor het ‘perfect’ meewerken aan onderzoek en herstellen van overtredingen wordt Carrefour beloond.
Een kleine kanttekening past: tegen de besluiten staat nog hoger beroep door Carrefour open. Dat moet binnen twee maanden na bekendmaking ervan zijn ingesteld bij de Franse Raad van State, het Conseil d’État. Uit de tweets van Carrefour valt af te leiden dat zij dit niet van plan lijkt, maar de sancties accepteert.
De uitvoerige overwegingen van de CNIL zijn – in het Frans – vindbaar op haar website. Voor Carrefour France kunt u hier klikken en voor Carrefour Banque hier.
Bron: CNIL, 26 november 2020
