Protection des données et transparence: un commerce en ligne contrôlé

Commerce en ligne: des règles pour respecter la protection des données des clients.
Commerce en ligne: des règles pour respecter la protection des données des clients.
David Ternande
Publié vendredi 26 avril 2024
Lien copié

#Données Le Préposé fédéral à la protection des données et à la transparence a publié un rapport à la suite du contrôle d'un site de commerce en ligne.

A la suite de plusieurs dénonciations d’utilisateurs de deux commerces en ligne, le Préposé fédéral à la protection des données et à la transparence (ci-après: le Préposé fédéral) a publié un rapport final daté du 15 avril 2024, résultant de l’enquête menée auprès de X SA, exploitant de deux magasins en ligne1. L’enquête ayant débuté en 2020, elle a été conduite sous l’ancienne loi sur la protection des données (aLPD). Certaines recommandations faites par le Préposé fédéral dans son rapport demeurent d’actualité au regard de la nouvelle loi sur la protection des données (LPD).

Contexte

Le contrôle du Préposé fédéral porte sur deux magasins en ligne appartenant à la même société (ci-après: X SA), elle-même issue d’un groupe suisse. D’une part, un hypermarché en ligne suisse, d’autre part, un magasin en ligne spécialisé dans la vente de produits électroniques. Dans la déclaration de protection des données de X SA, il est notamment expliqué que des données à caractère personnel sont collectées afin d'enregistrer et d'analyser le comportement et les achats des clients de manière individualisée et personnalisée. Il est également indiqué que ces données pourraient être recoupées avec d’autres données à caractère personnel, soit avec celles issues de commandes passées auparavant auprès de la société ou auprès d'autres entreprises du groupe, voire des tiers. Selon le Préposé fédéral, cela revient à constituer des profils de personnalité concernant la clientèle de X SA.

Pour effectuer des achats dans les magasins en ligne de X SA, il est nécessaire de créer un compte client. La société indique que cette décision est délibérée et notamment due à la volonté de personnaliser l'affichage de l'assortiment en ligne et de visualiser les articles récemment consultés ainsi que les listes de souhaits. De plus, la création d’un compte client favorise la fidélisation de la clientèle et la hausse des ventes dans un marché très concurrentiel.

Transparence et information quant à la finalité du traitement de données

Selon l'article 4 alinéa 3 aLPD, les données à caractère personnel ne peuvent être traitées que pour les finalités spécifiées au moment de leur collecte. L'article 4 alinéa 4 aLPD précise quant à lui que la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée. Enfin, lorsque des données sensibles ou des profils de personnalité sont traités, l'article 14 aLPD impose au responsable du traitement d'informer la personne concernée de manière explicite.

Dans le cas d’espèce, le Préposé fédéral estime que la déclaration de protection des données manque de précision, notamment quant aux finalités des collectes de données personnelles des clients. En outre, X SA énumère des traitements de données qui n’ont pas lieu, mais qui pourraient avoir potentiellement lieu à l’avenir.

Ainsi, le Préposé fédéral considère que la personne concernée ne peut pas prendre conscience des modalités concrètes du traitement de ses données à caractère personnel et exercer en connaissance de cause ses droits, notamment celui de s'opposer. Le Préposé conclut que le principe de transparence tel que défini à l'article 4 alinéa 4 aLPD ainsi que l'obligation d'information spécifique de l'article 14 aLPD en cas de traitement de données sensibles ou de profils n'apparaissent pas pleinement respectés.

Proportionnalité du traitement de données

Le respect du principe de proportionnalité (art. 4 al.2 aLPD) implique notamment que les données collectées soient limitées à celles qui sont nécessaires et suffisantes pour atteindre la finalité du traitement, sans que des données supplémentaires ne soient collectées.

Le Préposé fédéral relève que X SA est principalement active dans la vente de produits en ligne et que les traitements de données effectuées par X SA n'étaient pas limités au strict nécessaire pour la bonne exécution des ventes, mais engendrait le profilage détaillé des clients. En outre, rien n'impose techniquement qu'un client ne puisse procéder à un achat simple en tant qu’invité, sans devoir s'inscrire et accepter le traitement afférent au compte client et à l'analyse comportementale.

Selon le Préposé fédéral, de telles collectes de données dépassant le cadre du contrat de vente sont dès lors disproportionnées au sens de la loi sur la protection des données.

Recommandations du Préposé fédéral

Concernant la transparence et l’obligation d’information, le Préposé fédéral estime que X SA doit adapter sa déclaration de protection des données de manière à ce que, en particulier:

1.  les types des données personnelles collectées concernant les clients et les buts des traitements soient clairement visibles pour les personnes concernées, et que des traitements de données conduisent à des profils de personnalité;

2.  la déclaration de protection des données ne contienne pas de traitements de données «hypothétiques» et n’y énumère que les traitements de données qui sont effectivement réalisés.

De plus, selon le Préposé fédéral, dans la mesure où les traitements de données examinés, en raison de l’exigence impérative de créer un compte client, violent le principe de proportionnalité, ils sont illicites. Le Préposé fédéral recommande dès lors d’offrir le choix à la clientèle de procéder à ses achats en tant qu’invité, sans avoir besoin de créer un compte client engendrant une collecte de données plus importante.

1www.admin.ch/gov/fr/accueil/documentation/communiques/flux-rss/par-office/communiques-de-presse-et-discours.msg-id-100736.html

insérer code pub ici