28 nov
2024

Carte d’identité comme carte de fidélité : l’APD ordonne à Freedelity de se conformer au RGPD

La Chambre contentieuse de l’Autorité de protection des données (APD) a décidé d’imposer une série de mesures correctrices à Freedelity, une entreprise belge spécialisée dans la collecte et la mutualisation des données d’identité et de contact des consommateurs en partenariat avec diverses enseignes (dont certaines grandes chaînes de magasins). L’APD a constaté que le consentement obtenu pour le traitement de ces données ne respecte pas les exigences légales définies par le RGPD, et que les principes de minimisation et de limitation de la conservation des données ne sont pas observés. Freedelity est donc sommée de se mettre en conformité dans un délai de 4 mois, sous peine d’astreintes.

Contexte et manquements constatés

En 2019, le Comité de direction de l’APD a demandé l’ouverture d’une enquête au Service d’inspection sur certaines pratiques de l’entreprise Freedelity. Pendant le traitement du dossier, l’entreprise a initié diverses procédures, notamment devant la Commission d’accès aux documents administratifs, le Tribunal de première instance et la Cour des marchés.

L’entreprise Freedelity collecte, soit directement, soit via des enseignes partenaires, des informations concernant des consommateurs fournies entre autres à travers la lecture électronique de leur carte d’identité (eID). Ces données sont principalement collectées par le biais de bornes mises à disposition des enseignes par Freedelity. Ces enseignes sont des commerçants qui font usage des services Freedelity pour conserver et exploiter les données de leur clientèle à des fins de marketing et de gestion de relation client. Par ailleurs, Freedelity procède à la mutualisation des données, permettant ainsi de mettre à jour et partager automatiquement les informations des consommateurs communs entre plusieurs enseignes partenaires auxprès desquelles ceux-ci sont déjà clients.

Sur la base de l’enquête du Service d’Inspection et des pièces fournies par l’entreprise, la Chambre Contentieuse a constaté, notamment :

  • des manquements liés au consentement des consommateurs : pour être valable au sens du RGPD (Règlement général sur la protection des données), un consentement doit être :
    • Libre (c’est-à-dire que le consommateur ne peut pas subir de pression ou de conséquences négatives s’il ne consent pas), or, par exemple, l’une des enseignes impose l’acceptation des conditions générales de Freedelity pour bénéficier d‘avantages commerciaux.
    • Éclairé (c’est-à-dire informé), or certaines enseignes ne mentionnent par exemple pas le traitement de « mutualisation de données » au moment de demander un consentement au consommateur, alors qu’il s’agit d’une information essentielle.  
    • Spécifique (chaque finalité différente nécessite un consentement distinct)
    • Univoque (le consentement s’exprime par un acte clair et ne peut être déduit), or, par exemple, l’une des enseignes considère que l’insertion par un client de sa carte d’identité dans une borne Freedelity revient à un consentement par défaut du client au traitement de ses données pour trois finalités distinctes.
    • Révocable à tout moment : les consommateurs doivent pouvoir retirer leur consentement facilement, de manière aussi simple qu’il leur a été demandé. Or, les mécanismes mis en place par Freedelity et ses partenaires pour retirer le consentement ne sont pas suffisamment accessibles ou intuitifs.

Les mécanismes de collecte de consentement mis en place par les enseignes partenaires, bien que tous différents, ne répondent pas à l’ensemble de ces conditions prévues par le RGPD. Freedelity ne peut donc pas démontrer avoir reçu un consentement valable pour justifier ses traitements de données.

  • un manquement au principe de minimisation des données et de protection des données par défaut : Freedelity collecte des informations excessives, non nécessaires à la finalité déclarée de ses traitements de données. A titre d’exemple, Freedelity conserve le numéro de carte d’identité, la commune de délivrance et la date de validité de la carte, or ces données n’ont aucune pertinence pour Freedelity et pour la relation du client avec les enseignes. La Chambre Contentieuse estime que la centralisation massive de données issues directement de la puce de la carte eID pose un risque élevé pour la vie privée des millions de consommateurs concernés.

  • une violation du principe de limitation de la conservation des données personnelles : la durée de 8 ans pendant laquelle les données sont conservées dans le Fichier Freedelity est jugée excessive par la Chambre contentieuse. Ce délai dépasse ce qui est nécessaire pour les finalités déclarées, et aucune justification suffisante n’a été apportée pour démontrer sa conformité avec les exigences du RGPD.

Mesures correctrices : ordonnance de mise en conformité et d’effacement de données

Sur la base des infractions constatées, la Chambre Contentieuse de l’APD impose à l’entreprise Freedelity de se mettre en conformité avec le RGPD et lui ordonne, entre autres :

  • De mettre en place des mécanismes de recueil de consentement conformes, notamment en:
    • s’assurant que l’accès à des avantages commerciaux ne soit pas conditionné à l’acceptation de traitements supplémentaires ou de conditions non essentielles ;
    • informant clairement et de manière compréhensible les consommateurs sur les finalités de chaque traitement pour éclairer leur consentement ;
    • mettant en place des mécanismes qui permettent aux personnes d’exprimer leur accord de manière univoque et spécifique aux différentes finalités de traitement.
  • De mettre en place des mécanismes directs et accessibles pour le retrait du consentement
  • De cesser la collecte et le traitement de données issues des cartes d’identité des consommateurs qui ne sont pas indispensables pour les finalités poursuivies et d’effacer les données non nécessaires ayant été collectées dans le passé
  • De réduire la durée de conservation des données à maximum 3 ans à compter de la dernière activité du consommateur, et d’effacer les données conservées depuis plus de trois ans.

Hielke Hijmans, Président de la Chambre Contentieuse : « Les mesures que nous imposons aujourd’hui obligent Freedelity à transformer significativement son modèle économique pour se conformer au RGPD. Cette décision contribue à un meilleur respect des règles en matière de protection des données dans la relation entre les commerçants et les consommateurs, en particulier lors de l’utilisation de leur carte d’identité comme carte de fidélité. »

Sanction conditionnelle : les astreintes

L’entreprise dispose d’un délai de 4 mois pour se conformer à ces injonctions, et devra payer des astreintes allant jusqu’à 5.000 euros par jour de retard en cas de non-conformité ou de conformité partielle.

L’entreprise Freedelity dispose d’un délai de 30 jours pour faire appel de cette décision.

Liens intéressants

Lisez la décision 146/2024