La DPA française (CNIL) a infligé une amende à Carrefour Banque pour violation de son obligation de traiter les données de manière loyale (article 5, paragraphe 1, du RGPD). Si une personne ayant souscrit à la carte Pass (carte de crédit pouvant être rattachée à un compte fidélité) souhaitait également participer au programme de fidélité, elle devait cocher une case dans laquelle elle acceptait que Carrefour Banque envoie son ou ses nom, prénom et adresse e-mail à «Carrefour fidélité». Carrefour Banque a expressément indiqué qu'aucune autre donnée ne serait transmise. Cependant, la CNIL a relevé que d'autres données telles que l'adresse postale, le numéro de téléphone et le nombre d'enfants avaient été transmises, bien que la société se soit engagée à ne pas transmettre d'autres données.