19 sep
2019

L’Autorité de protection des données sanctionne un commerçant pour l’utilisation disproportionnée de l’eID pour la création d’une carte de fidélité

L’Autorité a sanctionné un commerçant qui propose comme seul moyen de création d’une carte de fidélité la lecture de la carte d’identité électronique. L’amende administrative imposée s’élève à 10.000 €. La carte d’identité électronique contient de nombreuses données sur son titulaire et l’utilisation de ces données, sans consentement du client, est considérée comme disproportionnée au regard du service proposé.


Exposé des faits : lecture de l'eID en échange d’une carte de fidélité

L’APD a reçu une plainte concernant l’utilisation par un commerçant de la carte d’identité électronique (eID) dans le cadre d’un service commercial, à savoir la création d’une carte de fidélité. Le plaignant ne voulant pas présenter sa carte d’identité, la carte de fidélité lui a été refusée alors qu'il a proposé de transmettre par écrit au commerçant les données le concernant pour pouvoir bénéficier d’une carte de fidélité. La Chambre Contentieuse de l’APD a jugé cette pratique non conforme au Règlement général sur la protection des données (RGPD) pour plusieurs motifs.

Non-respect du principe de minimisation des données

Le principe de minimisation est un principe important dans le RGPD qui impose aux responsables du traitement de limiter la quantité de données personnelles collectées ainsi que la durée de conservation de celles-ci à ce qui est strictement nécessaire au vu du but poursuivi.

Pour la création de la carte de fidélité, le commerçant exige de lire des données sur l’eID telles que le nom, les prénoms, l'adresse, etc., mais ce dernier veut également accéder à la photo et au code-barres qui est lié au numéro de Registre national. La Chambre Contentieuse rappelle que le numéro de Registre national est une donnée qui est soumise à des règles strictes quant à sa consultation et à son utilisation.

La Chambre Contentieuse estime par conséquent que la lecture et l’utilisation de toutes les données présentes sur la carte d’identité électronique dans un cadre commercial sont des traitements de données disproportionnés au regard de l’objectif de création d’une carte de fidélité.

Absence de consentement valable

Un traitement de données à caractère personnel, pour être licite, doit reposer sur l’une des six bases légales prévues par le RGPD. Le commerçant invoque le consentement comme base légale pour justifier le traitement des données reprises sur l'eID du client mais la Chambre Contentieuse conteste la validité de cette base légale.

Pour être valable, un consentement doit être libre, spécifique et informé. La Chambre Contentieuse estime que le consentement donné dans le cas d’espèce ne peut être considéré comme un consentement donné librement car aucune alternative n’est proposée aux clients. Si les clients refusent que leur carte d’identité électronique soit utilisée pour la création d’une carte de fidélité, ils sont de ce fait pénalisés et ne peuvent jouir d’avantages et de réductions car aucune alternative ne leur est proposée.

Hielke Hijmans, Président de la Chambre Contentieuse explique : "Les entreprises ou commerçants doivent avoir une approche plus consciencieuse lorsqu'ils réclament toutes sortes de données à caractère personnel pour un service, surtout en l’absence d’un consentement valable du client. Le RGPD prévoit des principes et des obligations qui doivent servir de fil conducteur pour traiter correctement des données à caractère personnel."

Sanctions

Au vu du non-respect du principe de minimisation des données et de l’absence d’une base légale valable, la Chambre Contentieuse décide d’ordonner au commerçant de se conformer aux exigences du RGPD et de lui imposer une amende administrative s’élevant à 10.000 €.

"L’utilisation de cartes d’identité électronique comme cartes de fidélité est une pratique courante. Cependant, le RGPD ne permet pas d’accéder à de nombreuses données à caractère personnel si celles-ci ne sont pas strictement nécessaires pour l’offre d’un service et sans une base légale valable. La Chambre Contentieuse considère qu’il s’agit d’une infraction grave et impose de ce fait une amende s’élevant à 10.000 €", précise Hielke Hijmans, Président de la Chambre Contentieuse.

David Stevens, Président de l'APD : “Cette décision constitue une nouvelle balise importante du chemin vers une meilleure protection de la vie privée de nos citoyens."

Mise à jour 29/10/2021 : La Cour de Cassation a donné raison aux arguments de l’APD dans ce dossier

La décision 06/2019 de la Chambre Contentieuse pour utilisation disproportionnée de l’eID en vue de créer une carte de fidélité (sans qu’une alternative ne soit proposée au client) avait été fin 2019 contestée devant la Cour des marchés. Celle-ci avait alors dans un arrêt daté du 19 février 2020 annulé la décision de l’APD. Le principal motif évoqué par la Cour d’appel était que la plaignante n’avait pas fourni sa carte d’identité au commerçant, de sorte que celui-ci n’avait pas effectivement traité ses données.

La Cour de cassation au contraire a reconnu qu’une personne concernée a le droit au traitement minimal de ses données en vue d’obtenir un service, et que celle-ci peut porter plainte si un service lui a été refusé car elle n’a pas consenti à un traitement qu’elle estime litigieux, et ce même si ses données n’ont pas été effectivement traitées.

Dans son arrêt du 7 octobre 2021, la Cour de Cassation annule donc l’arrêt (19/02/2020) de la Cour des marchés, qui, sur base des éléments indiqués par la Cour de Cassation, devra prendre une nouvelle décision dans l’affaire. Lisez l’arrêt complet (disponible uniquement en néerlandais) ici.

Liens intéressants