Gare aux sanctions si vous collectez plus de données que nécessaire !

By Nicolas Roland on in Privacy

shutterstock_444374098

De fait, un commerçant qui proposait une carte de fidélité s’est vu récemment infliger une amende de 10.000,00 par l’Autorité belge de Protection des Données (APD) notamment pour avoir, à cette occasion, collecté davantage d’informations que nécessaire.

Concrètement, l’APD a estimé que le commerçant n’avait pas respecté le principe de « minimisation de données » visé à l’article 5 (1) (c) du RGPD en demandant non seulement le nom, les prénoms, l’adresse, la date à partir de laquelle la personne concernée est devenue cliente ainsi que le montant de ses achats, mais également son genre et sa date de naissance. Pour ces deux dernières données, l’APD a estimé qu’elles n’étaient en fait pas pertinentes. Il était également reproché au commerçant de prendre connaissance du numéro de registre national du client en scannant le code-barres figurant sur sa carte d’identité électronique pour pouvoir créer et utiliser cette carte de fidélité, ce qui, là non plus, n’était pas pertinent.  

De surcroît, la création de cette carte de fidélité ne pouvait s’appuyer sur aucune des bases juridiques limitativement énumérées à l’article 6 du RGPD. En exigeant cette carte d’identité électronique, à défaut de toute autre alternative possible, le commerçant n’a pas obtenu de consentement valable de la part des clients concernés. En effet, pour pouvoir bénéficier des réductions associées à l’utilisation de cette carte de fidélité, ces clients n’avaient eu pas d’autre choix que de remettre au commerçant leur carte d’identité électronique ; leur consentement ne pouvait donc pas avoir été donné « librement » sur cette seule façon de procéder. Pour l’APD, il n’était pas non plus question de reconnaître un intérêt légitime dans le chef du commerçant qui procédait de la sorte car la « balance des intérêts en présence » penchait ici en faveur des personnes concernées par le traitement de leurs données.

Que retenir de cette décision ?

Qu’elle ne concerne pas que la création d’une carte de fidélité mais que son enseignement peut trouver à s’appliquer à d’autres cas de figure, par exemple dans une relation employeur-employé. Ainsi, l’employeur veillera à ne collecter et traiter que des données pertinentes. De même, pour chaque activité de traitement de données personnelles il s’agira de disposer d’une base juridique valable, et non d’un consentement qui aurait été obtenu à l’emporte-pièce.

Cette décision quant au fond du 17 septembre 2019 de la Chambre Contentieuse de l’APD (06/2019) est disponible sur www.autoriteprotectiondonnees.be