Revente intégrale de la base de données

Violations du RGPD et de leurs propres CGV, connues en interne mais trop lucratif pour être arrêté

Pas ou peu d’informations communiquées

Refus de communication des tiers au titre du secret des affaires

Plainte CNIL en cours

30/11/2018 : réception d’un spam par la Poste pour des offres fibres Bouygues Télécom, demande d’accès faite dans la foulée

08/02/2019 : hors délai, le DPO de Bouygues me répond qu’ils ne détiennent pas de données personnelles. Je les informe que c’est impossible car ils m’envoient du spam donc qu’ils ont forcément a minima mon adresse.

08/03/2019 : pour éviter le hors délai à nouveau, Bouygues m’informe que le traitement de ma demande est toujours en cours.

13/03/2019 : retour de la part de Bouygues qu’ils collectent des données via leurs partenaires commerciaux. En l’occurrence ici via la société Cartégie. Ils détiennent mon nom, prénom & adresse et assurent n’avoir utilisé ces données qu’au fin du spam postal. Ils me transmettent les contacts du DPO de Cartégie.

13/03/2019 : demande d’accès effectuée auprès de Cartégie. Retour le jour même du DPO, qui m’indique connaître : nom, prénom, adresse, date de naissance, téléphone, date de dernière commande et magasin préféré. Les données ont été fournies par CDiscount, pour le compte duquel ils commercialisent les données. Ils m’assurent rechercher si mes informations ont été communiqué à d’autres tiers et à me communiquer l’attestation de destruction le cas échéant. Ils me communiquent le mail du DPO de CDiscount.

13/03/2019 : demande d’accès effectuée auprès de CDiscount. Réponse obtenue dans la foulée, avec un lien vers un tableur contenant uniquement mon identité et l’historique de mes commandes.

14/03/2019 : réponse à CDiscount que les informations communiquées sont insuffisantes, en particulier qu’il n’y a aucune information sur la communication à des tiers. Réponse du DPO me renvoyant vers les CGV. D’après eux, seul Cartégie aurait eu accès aux données.

Les CGU en question indiquent expressément qu’il n’y a aucun partage à un tiers (§4) sauf cas précis (traitement de commande, facilité de paiement, avis clients & régie publicitaire). Cartégie revendant les données ne rentre dans aucune de ces catégories. Il y a donc violation manifeste des propres CGV de CDiscount avec la revente de leurs bases clients à des fins de prospections commerciales d’autres entreprises.

27/03/2019 : CDiscount se réfugie derrière le secret des affaires pour refuser la communication des tiers ayant eu accès aux données. Ceci est en violation du RGPD qui impose la communication de la liste exhaustive, a minima sur demande.

27/03/2019 : Plainte CNIL déposée.

17/05/2019 : Contact avec la CNIL pour des demandes de précisions

20/02/2020 : Dossier toujours en instruction à la CNIL

Des contacts internes de CDiscount m’informent que la direction et le département légal est parfaitement informé de la revente des données clients et de la violation du RGPD ainsi que de leurs propres CGV mais que le business est tellement juteux que tout le monde ferme les yeux.