Ce 19 septembre 2019, l’Autorité de la Protection des Données (APD) a sanctionné de 10.000 euros un commerçant qui proposait comme unique moyen de création d’un compte fidélité la lecture de la carte d’identité du citoyen.
3 points sont à soulever :
1) Ce n’est pas la première fois que l’utilisation de la carte d’identité à cette fin est remise en question.
Dans l’affaire Fidel ID, un concurrent poursuivait la société Fidel ID qui ne respectait pas la décision du comité sectoriel. Celui-ci refusait l’utilisation de l’eID pour constituer un compte fidélité.
La carte d’identité détient de nombreuses données sur le citoyen que la société FidelID conservait 5 ans, sans que toutes ces données ne soient nécessaires à la gestion des comptes fidélités.
Il était craint également une possibilité de ciblage du client. Comment ? Le profilage devient accessible dès qu’une même société est chargée de la gestion de divers comptes fidélités. Le système Freedility de Fidel ID, en l’occurrence, dont la clef était le NISS, attribué de manière unique à chaque citoyen, était utilisé par des commerçants différents. Il était donc possible pour la société de connaître les divers comptes fidélité d’une personne et de là, déduire son profil d’acheteur.
Pourtant, déjà à l’époque sous la directive de 1992 (ancêtre du RGPD) le profilage était prohibé, (sauf exceptions). Sans qu’il ne soit prouvé que FidelID opérait un tel ciblage, il convenait de privilégier un système qui écartait ce risque.
Par ailleurs, l’article 5 de la loi du 8 août 1983 interdit la consultation et/ou l’utilisation du RN, sauf si la consultation ou l’utilisation est accordée par le ministre de l’intérieur ou bien prévu dans une loi. La consultation et encore moins l’utilisation du NISS à des fins de gestion d’un compte fidélité ne sont bien évidemment pas reprises parmi les traitements autorisés. En raison de la violation de cette loi, le juge de la Cours d’appel de Bruxelles a condamné Fidel ID car cela provoquait une concurrence déloyale envers les systèmes similaires qui n’utilisaient pas le numéro NISS comme identifiant.
Il s’agissait alors d’une occasion manquée d’interdire un système basé sur un numéro unique qui permettait le profilage du consommateur et de souligner le traitement inadéquat des données qui était exercé.
A ce sujet vous pouvez lire la note sous jurisprudence suivante : Bruxelles, 9 mai 2012, J.T., 2012, note E. DE GRAVE, pp. 690 à 693 disponible en ligne à l’adresse suivante : http://www.crid.be/pdf/public/7136.pdf
Dans le cadre de la décision du 19 septembre, c’est bien sur la base de la protection des données que statue l’autorité. La couche de la concurrence déloyale ne semble plus devoir être appliquée pour disqualifier ce genre d’usage !
Elle estime en effet que l’obtention des informations nécessaires par la lecture de la carte est disproportionnée pour mettre en œuvre l’offre de service.
2) Pourquoi la lecture de la carte d’identité est-elle un traitement de données trop invasif pour la création d’un compte fidélité ?
Le commerçant recueillait l’adresse, le nom et le prénom du client par le biais de la carte ce qui semble adéquat à la création d’un compte fidélité. Cependant, la carte d’identité comporte d’autres informations administratives auxquelles il accédait, notamment la photo et le code barre de la carte. L’autorité rappelle à cet égard que le code barre est lié au numéro de registre national qui est soumis à une interdiction générale de traitement. Elle conclut dès lors qu’une collecte trop lourde de données a été effectuée et, qu’en cela, la réglementation en vigueur n’est pas respectée.
Il est important de noter que c’est la lecture de toutes les informations présentes sur la carte qui est jugée disproportionnée. Nous envisageons néanmoins la lecture de l’eID risquée même si elle ne vise qu’une collecte très restreinte de données. Cet outil public devrait conserver sa finalité publique et il n’est pas étonnant que sa présentation dans les commerces déclenche un certain malaise tant elle est liée au pouvoir public et à la gestion administrative du citoyen.
3) Dans un second temps, c’est la base licite de ce traitement qui est remise en question.
Le commerçant avançait qu’il avait obtenu le consentement de la personne pour effectuer ce traitement. Il se basait dès lors sur la première base proposée par l’article 6 du RGPD : le consentement libre éclairé et explicite de la personne. Or, l’autorité ne valide pas le consentement tel qu’il a été amené au client : le consentement n’était pas libre car il n’existait aucune alternative pour le client que la lecture de sa carte s’il voulait profiter des avantages du compte fidélité.
Nous aimerions apporter une nuance au raisonnement adopté par le commerçant ainsi que l’autorité. Il s’avère qu’une autre base licite n’était pas dénuée de pertinence : la base contractuelle. La création d’un compte fidélité, en échange de laquelle un service est offert (réduction, personnalisation…) peut en effet être qualifiée de convention implicite entre le commerçant et le client. Sur cette base, tous les traitements de données nécessaires à la mise en œuvre de cette convention sont licites.
Ainsi il n’est pas obligatoire d’obtenir le consentement de la personne pour collecter les données nécessaires, mais il sera plutôt question d’une information complète de la personne (en conformité avec l’article 13 RGPD) au moment où elle accepte de créer un compte pour qu’elle le fasse en connaissance de cause. Dans la lignée de l’avis de l’APD, il apparaît compliqué qu’un consentement au traitement des données cumulé à un cadre contractuel, puisse être libre, puisqu’il conditionne l’accès au service.
Toutefois, la base contractuelle ne rend licite que les traitements strictement nécessaires à la réalisation du contrat. Tout traitement allant au-delà de l’exécution de l’accord devra se fonder sur une autre base.
Comme il l’a été établi, la lecture de la carte d’identité dépasse la collecte raisonnable de données pour la création d’un compte fidélité. L’échappatoire était d’obtenir le consentement du client pour ce point spécifique du traitement. Hélas, s’il s’agit de l’unique moyen disponible pour mettre en œuvre le traitement, il est fort peu probable que l’APD estime ce consentement comme étant libre. Le serpent se mord la queue et ce n’est pas plus mal : nous ne souhaitons pas que la base licite du consentement serve de blanc-seing pour justifier une gestion des données peu proportionnée. Il est préférable de penser un service offert comme le moins gourmand possible pour la vie privée dès le début de sa conception plutôt que de s’efforcer, de façon factice, à légitimer un traitement de données trop invasif pour la finalité annoncée.
Violette DE NEEF
Pour l’annonce de la sanction par l’Autorité de Protection des Données: https://www.autoriteprotectiondonnees.be/news/APD-sanctionne-un-commercant-pour-lutilisation-de-l-eid-pour-une-carte-de-fidelite
