Une carte didentité nest pas une carte de fidélité
Vous navez probablement plus que très peu dargent liquide dans votre
portefeuille, mais de nombreuses de cartes de fidélité. Certaines de ces cartes
vous permettent de bénéficier directement de réductions. Dautres vous donnent
un relevé de vos achats et vous ne recevez alors plus de ticket papier à la
caisse. Enfin, il existe aussi des cartes qui vous permettent de récolter des
points. Pourquoi ne pas tout mettre sur une seule carte : votre carte didentité
?
Le marchand de boissons local
Un marchand de boissons offrait à ses clients une réduction en fonction des
achats effectués un système de points donc. Mais au lieu de proposer aux
clients la petite carte plastique classique, il leur demandait dinsérer leur
carte didentité dans le lecteur de cartes.
Un client avec des principes avait refusé de donner sa carte didentité, mais
exigeait la réduction. Laffaire a finalement été soumise à lAutorité de
protection des données (APD). LAPD est un organe indépendant qui veille au
respect des principes fondamentaux de la protection des données à caractère
personnel. Ces principes fondamentaux sont repris dans un Règlement européen de
2016, connu sous le nom de RGPD : le règlement général sur la protection des
données. Vous pouvez donc vous adresser à lAPD si vous estimez quil y a
atteinte à votre vie privée.
APD et Cour des marchés
LADP sétait montrée particulièrement sévère à légard du marchand de
boissons.
La carte didentité contient de nombreuses informations qui ne sont
pas pertinentes pour loctroi dune réduction sur des boissons. Outre votre nom
complet, elle reprend votre date et votre lieu de naissance, votre sexe... ainsi
que votre numéro de registre national.
TLe RGPD est déjà strict en ce qui concerne lutilisation de toutes sortes de
données à caractère personnel, mais le numéro de registre national est une
donnée soumise à des règles encore beaucoup plus strictes.
Bien quil soit donc très tentant dutiliser le numéro de registre national
comme numéro didentification unique pour vos clients, son utilisation à des
fins commerciales est strictement interdite.
LAPD avait dès lors décidé dinfliger au marchand de boissons une amende de 10
000 euros :
pour non-respect du principe de minimisation des données, qui interdit de
collecter plus de données que ce qui est strictement nécessaire ; et
pour absence de consentement au traitement de ces données.
La Cour des marchés, un organe de recours dont relève aussi lAPD, estimait
cette sanction excessive. En fin de compte, le marchand de boissons navait pas
obtenu les données... Comment pouvait-il alors avoir commis une infraction ?
Par ailleurs, le client avait le choix, selon la Cour. Sil ne voulait pas que
les données soient traitées, il ne devait pas insérer la carte dans le lecteur
de cartes. Le fait quil ne bénéficiait alors pas de la réduction était certes
une conséquence de ce refus, mais ne suffisait pas en soi pour affirmer que le
client navait pas le choix.
La Cour de cassation a finalement été saisie de laffaire. Et la plus haute
juridiction de notre pays se rallie au point de vue de ... lAPD.
Rien ne sest passé ...
La question se posait tout dabord de savoir si une plainte pouvait être
introduite auprès de lAPD dans la mesure où aucune infraction navait été
commise. Le marchand de boissons navait en effet pas obtenu la carte
didentité.
La Cour de cassation répond à cette question par laffirmative : toute personne
qui estime quil y a eu atteinte à ses droits consacrés par le RGPD a le droit
de porter plainte, le service dinspection de lAPD pouvant ensuite prendre ou
non des mesures.
Peu importe que les données personnelles naient pas été
effectivement traitées.
Si le service dinspection constate que les principes du RGPD nont pas été
respectés, il peut prendre des mesures. En loccurrence, linspection a constaté
que le marchand de boissons conservait toutes les données des cartes didentité.
La plupart des données ainsi récoltées nétaient pas nécessaires pour loctroi
de la réduction.
Consentement
Mais lorsquun client insère sa carte didentité dans un lecteur de cartes, ne
consent-il pas alors au traitement de ces données ?
Après quelques détours, la Cour de cassation conclut malgré tout quen agissant
ainsi, les clients ne donnent pas leur consentement au traitement de toutes les
données. Le raisonnement suivi est quen accordant uniquement une remise si la
carte didentité est insérée dans le lecteur de cartes, les clients nont en
réalité pas le choix. Sil ny a pas de choix possible, le consentement nest
pas libre.
La Cour de cassation rejette le raisonnement de la Cour des marchés selon lequel
le client ne perdait en fait rien, mais ne pouvait tout simplement pas
bénéficier de la réduction : le fait de ne pas pouvoir bénéficier dun avantage
entraîne lui aussi une restriction de la liberté de choix.
Minimisation des données et alternative
Il nest en soi pas interdit dutiliser la carte didentité comme carte de
fidélité. Mais les données récoltées doivent répondre à lexigence de
minimisation des données.
Le nom semble ainsi être le maximum que vous pouvez
télécharger de la carte. Vous pouvez y ajouter vous-même quelques autres données
comme un numéro de téléphone ou une adresse e-mail.
Si vous voulez télécharger des données supplémentaires, comme la date de
naissance ou le domicile, vous devez demander le consentement de la personne
concernée.
Il peut aussi savérer judicieux de proposer une alternative : des applications
dans lesquelles les clients doivent compléter leurs propres données, une carte à
tamponner comme auparavant ou simplement une nouvelle petite carte en
plastique... Les options ne manquent pas.