
Depuis quelques années, des enseignes commerciales comme MédiaMarkt, Trafic, Broze ou Medi-Market, demandent votre carte d’identité à la caisse en guise de carte de fidélité. Mais l’autorité de protection des données estime que le consentement des clients n’est pas « libre et éclairé » et que les commerçants collectent aussi trop de données grâce à la puce de la carte d’identité.
En Belgique, des millions de personnes ont déjà un jour donné leur carte d’identité à la caisse d’un magasin. Souvent sans se rendre vraiment compte de la portée de ce geste. D’abord parce que le personnel aux caisses est plutôt avare en explications comme nous avons pu nous en rendre compte dans une petite enquête de terrain chez MédiaMarkt, Broze, Trafic ou Médi-Market.
« Vous insérez votre carte dans ce petit boîtier, nous glisse rapidement un caissier chez Media-Markt, et chaque fois que vous achetez un produit chez nous, vous accumulez des points qui vous donneront droit à des réductions. Cela remplace la carte de fidélité tout simplement. »
A peine plus d’explications chez Trafic où le caissier, répondant à une de nos questions, croit vaguement savoir que « d’autres commerces sont partenaires, mais je ne sais pas lesquels.«
Ce n’est pas une simple carte de fidélité
Ce n’est pourtant pas une simple carte de fidélité, relève l’Autorité de protection des données (APD) dans une décision récente (28 novembre dernier). Car derrière ce programme se cache un système très sophistiqué de collecte et de commercialisation de données personnelles mis au point par une start-up belge, Freedelity, qui exerce en fait le métier de « broker », grossiste en données.
Cela signifie que les données qui figurent sur votre carte d’identité sont instantanément partagées par toutes les chaînes en contrat avec Freedelity (actuellement, outre les quatre déjà citées, il s’agit de Bongo, le Comptoir des vins, Deli, Hairdis, Intermarché, Pizza Hut, Prik & Tik et Tounesols). Et qu’elles sont susceptibles d’être partagées avec d’autres commerçants ou régies publicitaires dans l’avenir. De la même manière, si vous avez un jour donné une adresse e-mail ou un numéro de téléphone à l’une de ces chaînes, cette information sera mutualisée avec tous les partenaires de Freedelity.
Les clients ne se rendent pas compte
L’APD estime que le consentement des clients n’est pas suffisamment « éclairé » parce que certaines enseignes ne mentionnent pas que les données sont mutualisées avec d’autres enseignes. En gros, la plupart des clients ne se rendraient pas compte qu’en donnant leur carte d’identité par exemple chez Medi-market, ils cèdent automatiquement leurs données à Freedelity et à tous ses autres clients.
L’entreprise Freedelity se défend : « Si l’employé à la caisse n’a pas le temps de donner toutes les explications, elles sont fournies très clairement aux clients après, via un mail et un renvoi vers notre site internet« , explique Sébastien Buysse, le directeur général.
L’APD estime aussi que le consentement n’est pas « libre » (ce qui est une exigence légale contenue dans le RGPD). Le consommateur subirait une pression dans la mesure où il n’a pas le choix : s’il ne donne pas sa carte d’identité, il perd des avantages commerciaux. Les commerçants devraient offrir une alternative : soit la carte d’identité soit une carte de fidélité classique.
Il y a beaucoup de données personnelles sur une carte d’identité
L’APD estime aussi que Freedelity, par ce système, collecte trop de données personnelles, plus que ce qui est nécessaire pour un programme de fidélité. Il faut savoir qu’il y a beaucoup de données sur la puce d’une carte d’identité : le nom, le prénom, l’adresse, la date de naissance, le lieu de naissance, la nationalité, la date et le lieu de délivrance de la carte et le numéro de la carte d’identité.
« En soi, rappelle Florian Jacques, juriste au Namur Digital Institute (UNamur), l’usage de la carte d’identité par un commerçant est autorisé par la loi. Mais l’ADP rappelle ici le principe de « minimisation des données » prévues par le RGPD. Cela signifie que l’utilisateur doit collecter ce qui est nécessaire à son activité et rien de plus. Ici l’APD estime que des données comme le numéro de la carte d’identité, le lieu ou la date de délivrance ne sont pas utiles au programme commercial de Freedelity. »
Dans sa décision du 28 novembre dernier, l’ADP donne 4 mois à Freedelity pour apporter toutes les corrections nécessaires sous peine d’une astreinte de 5000 euros par jour de retard. L’entreprise basée à Nivelles peut néanmoins introduire un recours contre cette décision devant la Cour d’appel.
Extrait de rtbf.be