{"id":873,"date":"2019-10-16T23:02:48","date_gmt":"2019-10-16T21:02:48","guid":{"rendered":"https:\/\/digi-lex.be\/?p=873"},"modified":"2019-11-06T16:15:01","modified_gmt":"2019-11-06T15:15:01","slug":"la-fausse-bonne-idee-de-la-carte-didentite-comme-carte-de-fidelite","status":"publish","type":"post","link":"https:\/\/digi-lex.be\/index.php\/2019\/10\/16\/la-fausse-bonne-idee-de-la-carte-didentite-comme-carte-de-fidelite\/","title":{"rendered":"La fausse bonne id\u00e9e de la carte d&rsquo;identit\u00e9 comme carte de fid\u00e9lit\u00e9."},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"873\" class=\"elementor elementor-873\">\n\t\t\t\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-faf8a4b elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"faf8a4b\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-3508e5c7\" data-id=\"3508e5c7\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5ccc807c elementor-widget elementor-widget-text-editor\" data-id=\"5ccc807c\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.18.0 - 29-11-2023 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p><!-- wp:paragraph {\"customFontSize\":18} --><\/p>\n<p style=\"font-size: 18px;\"><strong>Ce 19 septembre 2019, l\u2019Autorit\u00e9 de la Protection des Donn\u00e9es (APD) a sanctionn\u00e9 de 10.000 euros un commer\u00e7ant qui proposait comme unique moyen de cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9 la lecture de la carte d\u2019identit\u00e9 du citoyen. <\/strong><\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p><strong>3 points sont \u00e0 soulever : <\/strong><\/p>\n<p><strong>1) Ce n\u2019est pas la premi\u00e8re fois que l\u2019utilisation de la carte d\u2019identit\u00e9 \u00e0 cette fin est remise en question. <\/strong><\/p>\n<p>Dans l\u2019affaire Fidel ID, un concurrent poursuivait la soci\u00e9t\u00e9 Fidel ID qui ne respectait pas la d\u00e9cision du comit\u00e9 sectoriel. Celui-ci refusait l\u2019utilisation de l\u2019eID pour constituer un compte fid\u00e9lit\u00e9.<\/p>\n<p>La carte d\u2019identit\u00e9 d\u00e9tient de nombreuses donn\u00e9es sur le citoyen que la soci\u00e9t\u00e9 FidelID conservait 5 ans, sans que toutes ces donn\u00e9es ne soient n\u00e9cessaires \u00e0 la gestion des comptes fid\u00e9lit\u00e9s.<\/p>\n<p>Il \u00e9tait craint \u00e9galement une possibilit\u00e9 de ciblage du client. Comment ? Le profilage devient accessible d\u00e8s qu\u2019une m\u00eame soci\u00e9t\u00e9 est charg\u00e9e de la gestion de divers comptes fid\u00e9lit\u00e9s. Le syst\u00e8me Freedility de Fidel ID, en l\u2019occurrence, dont la clef \u00e9tait le NISS, attribu\u00e9 de mani\u00e8re unique \u00e0 chaque citoyen, \u00e9tait utilis\u00e9 par des commer\u00e7ants diff\u00e9rents. Il \u00e9tait donc possible pour la soci\u00e9t\u00e9 de conna\u00eetre les divers comptes fid\u00e9lit\u00e9 d\u2019une personne et de l\u00e0, d\u00e9duire son profil d\u2019acheteur.<\/p>\n<p>Pourtant, d\u00e9j\u00e0 \u00e0 l\u2019\u00e9poque sous la directive de 1992 (anc\u00eatre du RGPD) le profilage \u00e9tait prohib\u00e9, (sauf exceptions). Sans qu\u2019il ne soit prouv\u00e9 que FidelID op\u00e9rait un tel ciblage, il convenait de privil\u00e9gier un syst\u00e8me qui \u00e9cartait ce risque. <br \/>Par ailleurs, l\u2019article 5 de la loi du 8 ao\u00fbt 1983 interdit la consultation et\/ou l\u2019utilisation du RN, sauf si la consultation ou l\u2019utilisation est accord\u00e9e par le ministre de l\u2019int\u00e9rieur ou bien pr\u00e9vu dans une loi. La consultation et encore moins l\u2019utilisation du NISS \u00e0 des fins de gestion d\u2019un compte fid\u00e9lit\u00e9 ne sont bien \u00e9videmment pas reprises parmi les traitements autoris\u00e9s. En raison de la violation de cette loi, le juge de la Cours d\u2019appel de Bruxelles a condamn\u00e9 Fidel ID car cela provoquait une concurrence d\u00e9loyale envers les syst\u00e8mes similaires qui n\u2019utilisaient pas le num\u00e9ro NISS comme identifiant.<\/p>\n<p>Il s\u2019agissait alors d\u2019une occasion manqu\u00e9e d\u2019interdire un syst\u00e8me bas\u00e9 sur un num\u00e9ro unique qui permettait le profilage du consommateur et de souligner le traitement inad\u00e9quat des donn\u00e9es qui \u00e9tait exerc\u00e9.<\/p>\n<p>A ce sujet vous pouvez lire la note sous jurisprudence suivante : Bruxelles, 9 mai 2012, J.T., 2012, note E. DE GRAVE, pp. 690 \u00e0 693 disponible en ligne \u00e0 l\u2019adresse suivante : <a href=\"http:\/\/www.crid.be\/pdf\/public\/7136.pdf\">http:\/\/www.crid.be\/pdf\/public\/7136.pdf<\/a><\/p>\n<p><strong>Dans le cadre de la d\u00e9cision du 19 septembre, c\u2019est bien sur la base de la protection des donn\u00e9es que statue l\u2019autorit\u00e9. La couche de la concurrence d\u00e9loyale ne semble plus devoir \u00eatre appliqu\u00e9e pour disqualifier ce genre d\u2019usage ! <br \/><\/strong><br \/>Elle estime en effet que l\u2019obtention des informations n\u00e9cessaires par la lecture de la carte est disproportionn\u00e9e pour mettre en \u0153uvre l\u2019offre de service.<\/p>\n<p><strong>2) Pourquoi la lecture de la carte d\u2019identit\u00e9 est-elle un traitement de donn\u00e9es trop invasif pour la cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9 ?<br \/><\/strong><br \/>Le commer\u00e7ant recueillait l\u2019adresse, le nom et le pr\u00e9nom du client par le biais de la carte ce qui semble ad\u00e9quat \u00e0 la cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9. Cependant, la carte d\u2019identit\u00e9 comporte d\u2019autres informations administratives auxquelles il acc\u00e9dait, notamment la photo et le code barre de la carte. L\u2019autorit\u00e9 rappelle \u00e0 cet \u00e9gard que le code barre est li\u00e9 au num\u00e9ro de registre national qui est soumis \u00e0 une interdiction g\u00e9n\u00e9rale de traitement. Elle conclut d\u00e8s lors qu\u2019une collecte trop lourde de donn\u00e9es a \u00e9t\u00e9 effectu\u00e9e et, qu\u2019en cela, la r\u00e9glementation en vigueur n\u2019est pas respect\u00e9e.<\/p>\n<p>Il est important de noter que c\u2019est la lecture de toutes les informations pr\u00e9sentes sur la carte qui est jug\u00e9e disproportionn\u00e9e. Nous envisageons n\u00e9anmoins la lecture de l\u2019eID risqu\u00e9e m\u00eame si elle ne vise qu\u2019une collecte tr\u00e8s restreinte de donn\u00e9es. Cet outil public devrait conserver sa finalit\u00e9 publique et il n\u2019est pas \u00e9tonnant que sa pr\u00e9sentation dans les commerces d\u00e9clenche un certain malaise tant elle est li\u00e9e au pouvoir public et \u00e0 la gestion administrative du citoyen. <br \/><strong><br \/>3) Dans un second temps, c\u2019est la base licite de ce traitement qui est remise en question. <\/strong><\/p>\n<p>Le commer\u00e7ant avan\u00e7ait qu\u2019il avait obtenu le consentement de la personne pour effectuer ce traitement. Il se basait d\u00e8s lors sur la premi\u00e8re base propos\u00e9e par l\u2019article 6 du RGPD : le consentement libre \u00e9clair\u00e9 et explicite de la personne. Or, l\u2019autorit\u00e9 ne valide pas le consentement tel qu\u2019il a \u00e9t\u00e9 amen\u00e9 au client : le consentement n\u2019\u00e9tait pas libre car il n\u2019existait aucune alternative pour le client que la lecture de sa carte s\u2019il voulait profiter des avantages du compte fid\u00e9lit\u00e9.<\/p>\n<p>Nous aimerions apporter une nuance au raisonnement adopt\u00e9 par le commer\u00e7ant ainsi que l\u2019autorit\u00e9. Il s\u2019av\u00e8re qu\u2019une autre base licite n\u2019\u00e9tait pas d\u00e9nu\u00e9e de pertinence : la base contractuelle. La cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9, en \u00e9change de laquelle un service est offert (r\u00e9duction, personnalisation\u2026) peut en effet \u00eatre qualifi\u00e9e de convention implicite entre le commer\u00e7ant et le client. Sur cette base, tous les traitements de donn\u00e9es n\u00e9cessaires \u00e0 la mise en \u0153uvre de cette convention sont licites.<\/p>\n<p>Ainsi il n\u2019est pas obligatoire d\u2019obtenir le consentement de la personne pour collecter les donn\u00e9es n\u00e9cessaires, mais il sera plut\u00f4t question d\u2019une information compl\u00e8te de la personne (en conformit\u00e9 avec l\u2019article 13 RGPD) au moment o\u00f9 elle accepte de cr\u00e9er un compte pour qu\u2019elle le fasse en connaissance de cause. Dans la lign\u00e9e de l\u2019avis de l\u2019APD, il appara\u00eet compliqu\u00e9 qu\u2019un consentement au traitement des donn\u00e9es cumul\u00e9 \u00e0 un cadre contractuel, puisse \u00eatre libre, puisqu\u2019il conditionne l\u2019acc\u00e8s au service.<\/p>\n<p>Toutefois, la base contractuelle ne rend licite que les traitements strictement n\u00e9cessaires \u00e0 la r\u00e9alisation du contrat. Tout traitement allant au-del\u00e0 de l\u2019ex\u00e9cution de l\u2019accord devra se fonder sur une autre base.<\/p>\n<p>Comme il l\u2019a \u00e9t\u00e9 \u00e9tabli, la lecture de la carte d\u2019identit\u00e9 d\u00e9passe la collecte raisonnable de donn\u00e9es pour la cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9. L\u2019\u00e9chappatoire \u00e9tait d\u2019obtenir le consentement du client pour ce point sp\u00e9cifique du traitement. H\u00e9las, s\u2019il s\u2019agit de l\u2019unique moyen disponible pour mettre en \u0153uvre le traitement, il est fort peu probable que l\u2019APD estime ce consentement comme \u00e9tant libre. Le serpent se mord la queue et ce n\u2019est pas plus mal : nous ne souhaitons pas que la base licite du consentement serve de blanc-seing pour justifier une gestion des donn\u00e9es peu proportionn\u00e9e. Il est pr\u00e9f\u00e9rable de penser un service offert comme le moins gourmand possible pour la vie priv\u00e9e d\u00e8s le d\u00e9but de sa conception plut\u00f4t que de s\u2019efforcer, de fa\u00e7on factice, \u00e0 l\u00e9gitimer un traitement de donn\u00e9es trop invasif pour la finalit\u00e9 annonc\u00e9e.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p><strong>Violette DE NEEF<\/strong><\/p>\n<p>Pour l&rsquo;annonce de la sanction par l&rsquo;Autorit\u00e9 de Protection des Donn\u00e9es:\u00a0<a style=\"background-color: #ffffff;\" href=\"https:\/\/www.autoriteprotectiondonnees.be\/news\/APD-sanctionne-un-commercant-pour-lutilisation-de-l-eid-pour-une-carte-de-fidelite\">https:\/\/www.autoriteprotectiondonnees.be\/news\/APD-sanctionne-un-commercant-pour-lutilisation-de-l-eid-pour-une-carte-de-fidelite<\/a><\/p>\n<p><!-- \/wp:paragraph --><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Ce 19 septembre 2019, l\u2019Autorit\u00e9 de la Protection des Donn\u00e9es (APD) a sanctionn\u00e9 de 10.000 euros un commer\u00e7ant qui proposait comme unique moyen de cr\u00e9ation d\u2019un compte fid\u00e9lit\u00e9 la lecture de la carte d\u2019identit\u00e9 du citoyen. <\/p>\n","protected":false},"author":1,"featured_media":793,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,37],"tags":[34,27,31,33,38,32,26,25,28,24,35],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/873"}],"collection":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/comments?post=873"}],"version-history":[{"count":11,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/873\/revisions"}],"predecessor-version":[{"id":919,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/873\/revisions\/919"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media\/793"}],"wp:attachment":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media?parent=873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/categories?post=873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/tags?post=873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}