Vous navez probablement plus que très peu dargent liquide dans votre portefeuille, mais de nombreuses de cartes de fidélité. Certaines de ces cartes vous permettent de bénéficier directement de réductions. Dautres vous donnent un relevé de vos achats et vous ne recevez alors plus de ticket papier à la caisse. Enfin, il existe aussi des cartes qui vous permettent de récolter des points. Pourquoi ne pas tout mettre sur une seule carte : votre carte didentité ?
Un marchand de boissons offrait à ses clients une réduction en fonction des achats effectués un système de points donc. Mais au lieu de proposer aux clients la petite carte plastique classique, il leur demandait dinsérer leur carte didentité dans le lecteur de cartes.
Un client avec des principes avait refusé de donner sa carte didentité, mais exigeait la réduction. Laffaire a finalement été soumise à lAutorité de protection des données (APD). LAPD est un organe indépendant qui veille au respect des principes fondamentaux de la protection des données à caractère personnel. Ces principes fondamentaux sont repris dans un Règlement européen de 2016, connu sous le nom de RGPD : le règlement général sur la protection des données. Vous pouvez donc vous adresser à lAPD si vous estimez quil y a atteinte à votre vie privée.
LADP sétait montrée particulièrement sévère à légard du marchand de boissons.La carte didentité contient de nombreuses informations qui ne sont pas pertinentes pour loctroi dune réduction sur des boissons. Outre votre nom complet, elle reprend votre date et votre lieu de naissance, votre sexe... ainsi que votre numéro de registre national.
TLe RGPD est déjà strict en ce qui concerne lutilisation de toutes sortes de données à caractère personnel, mais le numéro de registre national est une donnée soumise à des règles encore beaucoup plus strictes.
Bien quil soit donc très tentant dutiliser le numéro de registre national comme numéro didentification unique pour vos clients, son utilisation à des fins commerciales est strictement interdite.
LAPD avait dès lors décidé dinfliger au marchand de boissons une amende de 10 000 euros :
pour non-respect du principe de minimisation des données, qui interdit de collecter plus de données que ce qui est strictement nécessaire ; et
pour absence de consentement au traitement de ces données.
La Cour des marchés, un organe de recours dont relève aussi lAPD, estimait cette sanction excessive. En fin de compte, le marchand de boissons navait pas obtenu les données... Comment pouvait-il alors avoir commis une infraction ?
Par ailleurs, le client avait le choix, selon la Cour. Sil ne voulait pas que les données soient traitées, il ne devait pas insérer la carte dans le lecteur de cartes. Le fait quil ne bénéficiait alors pas de la réduction était certes une conséquence de ce refus, mais ne suffisait pas en soi pour affirmer que le client navait pas le choix.
La Cour de cassation a finalement été saisie de laffaire. Et la plus haute juridiction de notre pays se rallie au point de vue de ... lAPD.
La question se posait tout dabord de savoir si une plainte pouvait être introduite auprès de lAPD dans la mesure où aucune infraction navait été commise. Le marchand de boissons navait en effet pas obtenu la carte didentité.
La Cour de cassation répond à cette question par laffirmative : toute personne qui estime quil y a eu atteinte à ses droits consacrés par le RGPD a le droit de porter plainte, le service dinspection de lAPD pouvant ensuite prendre ou non des mesures.Peu importe que les données personnelles naient pas été effectivement traitées.
Si le service dinspection constate que les principes du RGPD nont pas été respectés, il peut prendre des mesures. En loccurrence, linspection a constaté que le marchand de boissons conservait toutes les données des cartes didentité. La plupart des données ainsi récoltées nétaient pas nécessaires pour loctroi de la réduction.
Mais lorsquun client insère sa carte didentité dans un lecteur de cartes, ne consent-il pas alors au traitement de ces données ?
Après quelques détours, la Cour de cassation conclut malgré tout quen agissant ainsi, les clients ne donnent pas leur consentement au traitement de toutes les données. Le raisonnement suivi est quen accordant uniquement une remise si la carte didentité est insérée dans le lecteur de cartes, les clients nont en réalité pas le choix. Sil ny a pas de choix possible, le consentement nest pas libre.
La Cour de cassation rejette le raisonnement de la Cour des marchés selon lequel le client ne perdait en fait rien, mais ne pouvait tout simplement pas bénéficier de la réduction : le fait de ne pas pouvoir bénéficier dun avantage entraîne lui aussi une restriction de la liberté de choix.
Il nest en soi pas interdit dutiliser la carte didentité comme carte de fidélité. Mais les données récoltées doivent répondre à lexigence de minimisation des données.Le nom semble ainsi être le maximum que vous pouvez télécharger de la carte. Vous pouvez y ajouter vous-même quelques autres données comme un numéro de téléphone ou une adresse e-mail.
Si vous voulez télécharger des données supplémentaires, comme la date de naissance ou le domicile, vous devez demander le consentement de la personne concernée.
Il peut aussi savérer judicieux de proposer une alternative : des applications dans lesquelles les clients doivent compléter leurs propres données, une carte à tamponner comme auparavant ou simplement une nouvelle petite carte en plastique... Les options ne manquent pas.