28 nov
2024

Carte d’identité comme carte de fidélité : l’APD ordonne à Freedelity de se conformer au RGPD

La Chambre contentieuse de l’Autorité de protection des données (APD) a décidé d’imposer une série de mesures correctrices à Freedelity, une entreprise belge spécialisée dans la collecte et la mutualisation des données d’identité et de contact des consommateurs en partenariat avec diverses enseignes (dont certaines grandes chaînes de magasins). L’APD a constaté que le consentement obtenu pour le traitement de ces données ne respecte pas les exigences légales définies par le RGPD, et que les principes de minimisation et de limitation de la conservation des données ne sont pas observés. Freedelity est donc sommée de se mettre en conformité dans un délai de 4 mois, sous peine d’astreintes.

Contexte et manquements constatés

En 2019, le Comité de direction de l’APD a demandé l’ouverture d’une enquête au Service d’inspection sur certaines pratiques de l’entreprise Freedelity. Pendant le traitement du dossier, l’entreprise a initié diverses procédures, notamment devant la Commission d’accès aux documents administratifs, le Tribunal de première instance et la Cour des marchés.

L’entreprise Freedelity collecte, soit directement, soit via des enseignes partenaires, des informations concernant des consommateurs fournies entre autres à travers la lecture électronique de leur carte d’identité (eID). Ces données sont principalement collectées par le biais de bornes mises à disposition des enseignes par Freedelity. Ces enseignes sont des commerçants qui font usage des services Freedelity pour conserver et exploiter les données de leur clientèle à des fins de marketing et de gestion de relation client. Par ailleurs, Freedelity procède à la mutualisation des données, permettant ainsi de mettre à jour et partager automatiquement les informations des consommateurs communs entre plusieurs enseignes partenaires auxprès desquelles ceux-ci sont déjà clients.

Sur la base de l’enquête du Service d’Inspection et des pièces fournies par l’entreprise, la Chambre Contentieuse a constaté, notamment :

  • des manquements liés au consentement des consommateurs : pour être valable au sens du RGPD (Règlement général sur la protection des données), un consentement doit être :
    • Libre (c’est-à-dire que le consommateur ne peut pas subir de pression ou de conséquences négatives s’il ne consent pas), or, par exemple, l’une des enseignes impose l’acceptation des conditions générales de Freedelity pour bénéficier d‘avantages commerciaux.
    • Éclairé (c’est-à-dire informé), or certaines enseignes ne mentionnent par exemple pas le traitement de « mutualisation de données » au moment de demander un consentement au consommateur, alors qu’il s’agit d’une information essentielle.  
    • Spécifique (chaque finalité différente nécessite un consentement distinct)
    • Univoque (le consentement s’exprime par un acte clair et ne peut être déduit), or, par exemple, l’une des enseignes considère que l’insertion par un client de sa carte d’identité dans une borne Freedelity revient à un consentement par défaut du client au traitement de ses données pour trois finalités distinctes.
    • Révocable à tout moment : les consommateurs doivent pouvoir retirer leur consentement facilement, de manière aussi simple qu’il leur a été demandé. Or, les mécanismes mis en place par Freedelity et ses partenaires pour retirer le consentement ne sont pas suffisamment accessibles ou intuitifs.

Les mécanismes de collecte de consentement mis en place par les enseignes partenaires, bien que tous différents, ne répondent pas à l’ensemble de ces conditions prévues par le RGPD. Freedelity ne peut donc pas démontrer avoir reçu un consentement valable pour justifier ses traitements de données.

  • un manquement au principe de minimisation des données et de protection des données par défaut : Freedelity collecte des informations excessives, non nécessaires à la finalité déclarée de ses traitements de données. A titre d’exemple, Freedelity conserve le numéro de carte d’identité, la commune de délivrance et la date de validité de la carte, or ces données n’ont aucune pertinence pour Freedelity et pour la relation du client avec les enseignes. La Chambre Contentieuse estime que la centralisation massive de données issues directement de la puce de la carte eID pose un risque élevé pour la vie privée des millions de consommateurs concernés.

  • une violation du principe de limitation de la conservation des données personnelles : la durée de 8 ans pendant laquelle les données sont conservées dans le Fichier Freedelity est jugée excessive par la Chambre contentieuse. Ce délai dépasse ce qui est nécessaire pour les finalités déclarées, et aucune justification suffisante n’a été apportée pour démontrer sa conformité avec les exigences du RGPD.

Mesures correctrices : ordonnance de mise en conformité et d’effacement de données

Sur la base des infractions constatées, la Chambre Contentieuse de l’APD impose à l’entreprise Freedelity de se mettre en conformité avec le RGPD et lui ordonne, entre autres :

  • De mettre en place des mécanismes de recueil de consentement conformes, notamment en:
    • s’assurant que l’accès à des avantages commerciaux ne soit pas conditionné à l’acceptation de traitements supplémentaires ou de conditions non essentielles ;
    • informant clairement et de manière compréhensible les consommateurs sur les finalités de chaque traitement pour éclairer leur consentement ;
    • mettant en place des mécanismes qui permettent aux personnes d’exprimer leur accord de manière univoque et spécifique aux différentes finalités de traitement.
  • De mettre en place des mécanismes directs et accessibles pour le retrait du consentement
  • De cesser la collecte et le traitement de données issues des cartes d’identité des consommateurs qui ne sont pas indispensables pour les finalités poursuivies et d’effacer les données non nécessaires ayant été collectées dans le passé
  • De réduire la durée de conservation des données à maximum 3 ans à compter de la dernière activité du consommateur, et d’effacer les données conservées depuis plus de trois ans.

Hielke Hijmans, Président de la Chambre Contentieuse : « Les mesures que nous imposons aujourd’hui obligent Freedelity à transformer significativement son modèle économique pour se conformer au RGPD. Cette décision contribue à un meilleur respect des règles en matière de protection des données dans la relation entre les commerçants et les consommateurs, en particulier lors de l’utilisation de leur carte d’identité comme carte de fidélité. »

Sanction conditionnelle : les astreintes

L’entreprise dispose d’un délai de 4 mois pour se conformer à ces injonctions, et devra payer des astreintes allant jusqu’à 5.000 euros par jour de retard en cas de non-conformité ou de conformité partielle.

L’entreprise Freedelity dispose d’un délai de 30 jours pour faire appel de cette décision.

Mise à jour 8/12/2025 - L’APD donne plus de temps à Freedelity et ses enseignes clientes

À la demande de la Cour des marchés, et vu l’ampleur des modifications à apporter à son modèle économique, l’APD rallonge les délais accordés à l’entreprise Freedelity pour se mettre en conformité. Elle s’assurera de la bonne collaboration de ses enseignes partenaires. 

Contexte 

En novembre 2024, la Chambre Contentieuse de l’APD imposait une série de mesures correctrices à Freedelity, une entreprise belge spécialisée dans la collecte et la mutualisation des données d’identité et de contact des consommateurs , en partenariat avec diverses enseignes bien connues.

Freedelity a fait appel de la décision et, en juin 2025, la Cour des marchés déclara leur appel partiellement fondé. En effet, si la Cour suit le raisonnement de l’APD sur le fond du dossier, elle estime que le délai de 4 mois accordé à Freedelity pour se mettre en conformité est trop court, notamment car une mise en conformité nécessite une concertation avec les enseignes partenaires (les magasins faisant usage du service de Freedelity). La Cour a donc demandé à la Chambre Contentieuse de réévaluer les délais de conformité imposés. 

Nouveaux délais

Dans une nouvelle décision publiée aujourd’hui, la Chambre Contentieuse double les délais accordés à Freedelity : l’entreprise dispose désormais de 8 mois pour, entre autres, mettre en place des mécanismes de recueil et de retrait de consentement conformes, et cesser la collecte de données issues des cartes d’identité des consommateurs qui ne sont pas indispensables pour les finalités poursuivies.

L’entreprise dispose en outre d’un délai de 6 mois pour réduire la durée de conservation des données qu’elle traite. 

La Chambre Contentieuse entend que Freedelity rencontre des difficultés techniques, opérationnelles et contractuelles pour mener à bien ces injonctions de conformité, car celles-ci nécessitent la collaboration active de ses enseignes partenaires. Par conséquent, la Chambre Contentieuse s’assurera de la bonne coopération de celles-ci à l’issue du délai en les répartissant en trois catégories: les enseignes ayant collaboré activement, celles s’étant partiellement conformées (potentiellement à cause de contraintes techniques sérieuses démontrées), et celles ne collaborant pas (ou de manière non sérieuse).

La Chambre Contentieuse se réserve le droit de faire usage de l’ensemble de ses pouvoirs à l’encontre des enseignes n’ayant pas pleinement collaboré. 

Liens intéressants

Lisez la décision 146/2024

Arrêt du 18 juin 2025 de la Cour des marchés AR/2091

Lisez la décision 206/2025