La DPA française (CNIL) a condamné Carrefour France à une amende de 2 250 000 euros pour plusieurs infractions à la réglementation en matière de protection des données, dont le GPDR. Au cours de son enquête, la CNIL a constaté que les informations sur les données personnelles fournies aux utilisateurs des sites carrefour.fr et à ceux souhaitant adhérer au programme de fidélité n'étaient ni facilement accessibles ni facilement compréhensibles. La CNIL a également constaté que les informations concernant le transfert de données vers des pays hors UE et la durée de conservation des données étaient incomplètes. La CNIL constate également que l'entreprise n'a pas respecté les délais de stockage. Par ailleurs, les données de plus de vingt-huit millions de clients inactifs pendant cinq à dix ans ont été conservées aux fins du programme de fidélité. Ce fut également le cas pour 750 000 utilisateurs du site carrefour.fr, inactifs pendant cinq à dix ans. La CNIL précise que la société exigeait un justificatif d'identité pour quasiment chaque demande d'un utilisateur pour exercer un droit. Cependant, cette exigence automatique n'était pas justifiée, car dans la plupart des cas, il n'y avait aucun doute quant à l'identité des personnes concernées. De plus, la société n'a pas répondu à plusieurs demandes d'individus souhaitant accéder à leurs données personnelles. De plus, dans de nombreux cas, l'entreprise n'a pas procédé à l'effacement des données demandées par des particuliers. Enfin, l'entreprise n'a pas répondu à plusieurs demandes de personnes n'ayant pas accepté de recevoir de la publicité par SMS ou par e-mail.