swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?

Christophe Hensler, le 13 mai 2024
Le Préposé estime que l’obligation d’ou­vrir un compte client pour procé­der à un achat viole le prin­cipe de propor­tion­na­lité et recom­mande à Digitec Galaxus plusieurs modi­fi­ca­tions de sa décla­ra­tion de protec­tion des données. La présente contri­bu­tion analyse les diffé­rentes recom­man­da­tions du Préposé d’un œil critique et tire des ensei­gne­ments à la lumière de la nouvelle loi sur la protec­tion des données.

I. Introduction

Le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence  a récem­ment publié son rapport final sur l’enquête ouverte contre Digitec Galaxus SA.

Cette affaire remonte à fin mars 2020 avec l’interpellation du Préposé par une cliente qui avait accepté la décla­ra­tion de protec­tion des données de Digitec Galaxus, mais s’était oppo­sée par la suite à l’enregistrement et à la trans­mis­sion de ses données rela­tives à son adresse et sa carte de crédit, ainsi qu’à toute exploi­ta­tion de ses données person­nelles à des fins publi­ci­taires et de marke­ting. La cliente repro­chait égale­ment à Digitec Galaxus le fait que les clients étaient contraints d’accepter tous les trai­te­ments de données décrits dans la décla­ra­tion de protec­tion des données pour pouvoir passer une commande.

Dans son rapport final, le Préposé arrive à la conclu­sion que l’obli­ga­tion de créer un compte client pour procé­der à un achat viole le prin­cipe de propor­tion­na­lité et recom­mande égale­ment à Digitec Galaxus plusieurs adap­ta­tions de sa décla­ra­tion de protec­tion des données.

La présente contri­bu­tion analyse les diffé­rentes recom­man­da­tions du Préposé d’un œil critique et tire des ensei­gne­ments à la lumière de la nouvelle loi sur la protec­tion des données.

II. Remarques préliminaires

Tout d’abord, il est impor­tant de souli­gner que cette affaire était soumise à l’ancienne LPD (aLPD) confor­mé­ment à la dispo­si­tion tran­si­toire de l’art. 70 nLPD. Le Préposé a ainsi procédé à un établis­se­ment des faits selon l’art. 29 al. 1 let. a aLPD en appli­quant les règles maté­rielles de l’ancien droit. L’application de l’aLPD s’étend égale­ment aux mesures à dispo­si­tion du Préposé qui se limitent à des recom­man­da­tions non contrai­gnantes (art. 29 al. 3 aLPD) avec la possi­bi­lité, en cas de rejet par le maître du fichier (respon­sable du trai­te­ment selon la nLPD), de porter l’affaire devant le Tribunal admi­nis­tra­tif fédé­ral pour déci­sion (art. 29 al. 4 aLPD).

Par ailleurs, on relè­vera la durée parti­cu­liè­re­ment longue de cette affaire, dont les prémices ont commencé en mars 2020 pour abou­tir à un rapport final en avril 2024, soit après plus de 4 ans. Avec l’entrée en vigueur de la nLPD, et malgré la dispo­si­tion tran­si­toire, les délais de trai­te­ment ont malheu­reu­se­ment pour effet de créer un déca­lage impor­tant entre le droit qui est, ou était, déter­mi­nant lors de l’établissement des faits et le droit auquel Digitec Galaxus est soumise au moment de la publi­ca­tion du rapport final.

Enfin, on notera que le rapport final se base sur l’état de fait et les docu­ments soumis à fin 2021, alors que Digitec Galaxus a informé le Préposé en juin 2023 qu’elle avait révisé sa décla­ra­tion de protec­tion des données en vue de l’entrée en vigueur de la nLPD. On peut dès lors se deman­der pour­quoi le Préposé n’a pas tenu compte de la nouvelle décla­ra­tion de protec­tion des données dans ses recom­man­da­tions, dont la plupart étaient déjà dépas­sées au moment où le rapport final a été publié.

III. Adaptations de la décla­ra­tion de protec­tion des données

Dans son rapport final, le Préposé formule cinq recom­man­da­tions à Digitec Galaxus portant sur des adap­ta­tions de sa décla­ra­tion de protec­tion des données.

1) Identification des outils d’analyse web

Le Préposé recom­mande d’iden­ti­fier clai­re­ment les outils d’analyse web utili­sés et les trai­te­ments de données person­nelles qui en résultent. De son côté, Digitec Galaxus semble esti­mer que cette recom­man­da­tion est sans objet avec l’adoption de la nouvelle décla­ra­tion de protec­tion des données.

Cette recom­man­da­tion soulève des ques­tions inté­res­santes sur l’application de la LPD (ancienne comme nouvelle) aux données récol­tées au moyen d’outils d’analyse web, en parti­cu­lier les fameux cookies dont les bannières de consen­te­ment sont deve­nues omni­pré­sentes sur tous les sites inter­net depuis l’en­trée en vigueur du RGPD en 2018.

Cela n’est pas abordé dans le rapport du Préposé, mais il est utile de rappe­ler qu’en droit suisse l’utilisation de cookies est régie en premier lieu par l’art. 45c de la Loi sur les télé­com­mu­ni­ca­tions (LTC) qui exige notam­ment d’informer l’utilisateur sur le trai­te­ment et sa fina­lité, ainsi que sur la possi­bi­lité de refu­ser ce trai­te­ment. Contrairement au droit euro­péen, qui prévoit un méca­nisme d’opt-in néces­si­tant d’obtenir le consen­te­ment préa­lable de l’uti­li­sa­teur (cf. art. 5 (3) de la de la direc­tive 2002/​58/​CE surnom­mée aussi « ePrivacy Directive »), le droit suisse prévoit unique­ment un devoir d’information, lequel peut parfai­te­ment être rempli par le biais de la décla­ra­tion de protec­tion des données, avec possi­bi­lité d’opt-out. C’est d’ailleurs l’approche choi­sie par les sites digi​tec​.ch et galaxus​.ch qui n’ont pas de bannière de cookies mais où l’information se fait par la décla­ra­tion de protec­tion des données, complé­tée par une notice d’information sur les cookies et les tech­no­lo­gies similaires.

Au final, la règle­men­ta­tion sur la protec­tion des données ne trouve appli­ca­tion que si les données trai­tées au moyen de cookies se rapportent à une personne déter­mi­née ou iden­ti­fiable. La notion de données person­nelles a connu des évolu­tions ces dernières années avec plusieurs arrêts, suisses et euro­péens, qui penchent de plus en plus vers une approche dite « rela­tive » (où le carac­tère iden­ti­fiable de l’information doit être analysé du point de vue de la personne qui détient l’information ; sur cette notion voir notam­ment Alexandre Jotterand, Des données person­nelles pseu­do­ny­mi­sées trans­fé­rées à un tiers deviennent-elles anonymes ?, 13 juin 2023 in www​.swiss​pri​vacy​.law/​232). Or, il est inté­res­sant de voir que le Préposé semble conti­nuer à se baser sur l’approche « abso­lue » en consi­dé­rant que des données pseu­do­ny­mi­sées consti­tuent des données person­nelles dans la mesure où elles peuvent être poten­tiel­le­ment réiden­ti­fiées, sans effort dispro­por­tionné, par un procédé d’individualisation, de corré­la­tion ou d’inférence (soit dans la version origi­nale en alle­mand, « durch Herausgreifen, Verknüpfung und Inferenz » qui est une termi­no­lo­gie reprise de l’Avis 05/​2014 du G29 sur les tech­niques d’ano­ny­mi­sa­tion [alle­mand/​fran­çais]).

2) Identification des fina­li­tés et profil de la personnalité

Le Préposé recom­mande ensuite d’iden­ti­fier clai­re­ment pour quelles fina­li­tés les données person­nelles sont trai­tées et d’indiquer que certains trai­te­ments peuvent conduire à des profils de la person­na­lité (deve­nus des « profi­lages » sous la nLPD). Digitec Galaxus rejette partiel­le­ment cette recom­man­da­tion tout en ayant adapté sa nouvelle décla­ra­tion de protec­tion des données sur ce point.

Cette recom­man­da­tion pose notam­ment la ques­tion de la granu­la­rité de l’information sur les fina­li­tés, à savoir s’il est accep­table d’indiquer dans la décla­ra­tion une liste de fina­li­tés sans préci­ser quelles données person­nelles sont trai­tées en rapport avec chaque finalité.

Il est utile de rappe­ler que l’aLPD prévoyait un devoir d’information moins étendu que la nLPD avec une infor­ma­tion limi­tée à la collecte de données sensibles et aux profils de la person­na­lité (l’art. 19 nLPD s’applique à la collecte de toute donnée person­nelle). En ce qui concerne le contenu de l’information, la LPD (ancienne comme nouvelle) impose entre autres au respon­sable du trai­te­ment de commu­ni­quer les fina­li­tés du trai­te­ment (art. 14 al. 2 let. a aLPD ; art. 19 al. 2 let. a nLPD), sans toute­fois exiger expli­ci­te­ment de lier les données person­nelles trai­tées aux finalités.

Dans son rapport final, le Préposé semble d’avantage baser sa réflexion sur les prin­cipes géné­raux de bonne foi (art. 4 al. 2 aLPD ; art. 6 al. 2 nLPD) et de recon­nais­sa­bi­lité des fina­li­tés (art. 4 al. 3 et 4 aLPD ; art 6 al. 3 nLPD) que sur les dispo­si­tions rela­tives au devoir d’information (art. 14 aLPD ; art. 19 nLPD). Il estime que les personnes concer­nées ne peuvent pas vala­ble­ment exer­cer leur droit à l’au­to­dé­ter­mi­na­tion infor­ma­tion­nelle (comme donner leur consen­te­ment ou s’opposer à un trai­te­ment) si elles ne savent pas clai­re­ment quelles données person­nelles sont trai­tées en lien avec quelles finalités.

La nLPD apporte une préci­sion dans ce sens en exigeant que les infor­ma­tions à commu­ni­quer doivent être celles néces­saires pour que la personne concer­née puisse faire valoir ses droits et pour que la trans­pa­rence des trai­te­ments soit garan­tie (art. 19 al. 2 nLPD). Le degré de détails de l’information est en prin­cipe déter­miné par le respon­sable du trai­te­ment et dépend du type de données person­nelles trai­tées ainsi que de la nature et de l’ampleur du trai­te­ment (cf. message du Conseil fédé­ral rela­tif à la nLPD, p. 6669).

De manière géné­rale, on peut se deman­der si le ratta­che­ment des données person­nelles à chaque fina­lité est réel­le­ment néces­saire pour que les personnes concer­nées puissent faire valoir leurs droits. En effet, dans l’exercice de leurs droits, les personnes concer­nées atta­che­ront souvent plus d’importance aux fina­li­tés en tant que telles qu’aux données person­nelles qui y sont ratta­chées. Par exemple, le client qui souhaite s’opposer à l’exploitation de ses données person­nelles à des fins publi­ci­taires et de marke­ting ne s’abs­tien­dra pas de le faire parce qu’il ne connaît pas l’éten­due exacte des données person­nelles trai­tées en lien avec cette finalité.

Une inter­pré­ta­tion trop stricte de la granu­la­rité de l’information irait égale­ment à l’encontre de la possi­bi­lité de trai­ter ulté­rieu­re­ment des données person­nelles de manière compa­tible avec les fina­li­tés initiales. A titre d’exemple, on peut présu­mer que si la personne concer­née trans­met son adresse dans le cadre de l’obtention d’une carte client ou pour une commande (en ligne ou non), l’utilisation ulté­rieure de cette adresse à des fins commer­ciales par l’entreprise elle-même peut être consi­dé­rée comme corres­pon­dant à une fina­lité initia­le­ment recon­nais­sable, et donc compa­tible avec les fina­li­tés initiales (cf. message du Conseil fédé­ral rela­tif à la nLPD, p. 6645).

A notre sens, il convient de lire la recom­man­da­tion du Préposé dans le contexte spéci­fique des trai­te­ments effec­tués par Digitec Galaxus, en parti­cu­lier le fait que certaines données person­nelles sont utili­sées à des fins d’analyse du compor­te­ment de la clien­tèle et qu’elles peuvent être trans­mises à d’autres entre­prises du groupe Migros pour les mêmes fina­li­tés. Tout en lais­sant ouverte la ques­tion, le Préposé évoque l’existence poten­tielle d’un « profi­lage à risque élevé », ce qui explique peut-être l’approche stricte qui a été prise dans cette affaire.

3) Traitement de données person­nelles « à titre de réserve »

Le Préposé recom­mande égale­ment de ne pas mention­ner de trai­te­ments de données à « titre de réserve » mais unique­ment ceux qui sont vrai­ment effec­tués. Cette recom­man­da­tion est reje­tée par Digitec Galaxus.

Le Préposé estime qu’une personne concer­née s’at­tend de bonne foi à ce que les infor­ma­tions conte­nues dans la décla­ra­tion de protec­tion des données soient exactes. Selon lui, une décla­ra­tion de protec­tion des données incluant des trai­te­ments de données « à titre de réserve » lais­se­rait les personnes concer­nées dans l’igno­rance et il ne leur serait plus possible de distin­guer les trai­te­ments de données qui ont effec­ti­ve­ment lieu de ceux qui pour­raient éven­tuel­le­ment avoir lieu à l’avenir.

Sur ce point, les expli­ca­tions du Préposé ne sont pas convain­cantes et cette recom­man­da­tion doit être relativisée.

La mention de trai­te­ment de données person­nelles « à titre de réserve » ne signi­fie pas néces­sai­re­ment que les infor­ma­tions commu­ni­quées sont inexactes. Si la décla­ra­tion de protec­tion des données est formu­lée de manière non-équi­voque, en distin­guant les trai­te­ments actuels de ceux envi­sa­gés, on ne devrait pas pouvoir repro­cher au respon­sable du trai­te­ment un manque de transparence.

Par ailleurs, la mention de futurs trai­te­ments évite de devoir modi­fier la décla­ra­tion et permet aux personnes concer­nées d’être infor­mées d’emblée sur les déve­lop­pe­ments envi­sa­gés du trai­te­ment. Une telle réserve permet vrai­sem­bla­ble­ment une meilleure trans­pa­rence qu’une modi­fi­ca­tion ulté­rieure de la décla­ra­tion, qui ne sera vrai­sem­bla­ble­ment jamais lue par le client et répu­tée comme accep­tée tacitement.

Enfin, il ne faut pas perdre de vue que la décla­ra­tion de protec­tion des données est une infor­ma­tion géné­rale ex-ante et que les personnes concer­nées ont toujours la possi­bi­lité de deman­der des infor­ma­tions plus précises ex-post sur les trai­te­ments effec­tués par le biais du droit d’accès (art. 8 aLPD ; art. 25 LPD).

Si la posi­tion du Préposé parait trop stricte, il convient toute­fois de poser des limites pour éviter des abus. La mention de trai­te­ments de données « à titre de réserve » devrait rester une excep­tion réser­vée à des trai­te­ments qui sont réel­le­ment envi­sa­gés dans un futur proche. La multi­pli­ca­tion de trai­te­ments pure­ment hypo­thé­tiques vide­rait de sens l’information qui est donnée et ne serait vrai­sem­bla­ble­ment plus compa­tible avec le prin­cipe de bonne foi.

4) Identification des atteintes à la person­na­lité et des motifs justi­fi­ca­tifs invoqués

Le Préposé recom­mande aussi d’in­for­mer les personnes concer­nées sur les trai­te­ments entraî­nant des atteintes à la person­na­lité et sur les motifs justi­fi­ca­tifs invo­qués. Cette recom­man­da­tion est elle aussi reje­tée par Digitec Galaxus.

Le fonde­ment de cette recom­man­da­tion ne ressort pas clai­re­ment du rapport final.

En ce qui concerne le trai­te­ment de données person­nelles par des personnes privées, il est impor­tant de rappe­ler que la LPD a adopté une approche diffé­rente du RGPD qui part du prin­cipe qu’un trai­te­ment de données n’est licite que s’il existe un motif justi­fi­ca­tif (art. 6 RGPD) et exige expli­ci­te­ment de commu­ni­quer aux personnes concer­nées la base juri­dique du trai­te­ment (art. 13(1)© RGPD). Dans la LPD, il n’est pas néces­saire d’avoir un motif justi­fi­ca­tif pour trai­ter des données person­nelles, mais celui-ci permet de justi­fier une atteinte à la person­na­lité (présu­mée dans les cas énumé­rés à l’art. 12 al. 2 aLPD et 30 al. 2 nLPD) qui rendrait le trai­te­ment illicite.

Comme nous l’avons vu ci-dessus, le devoir d’information de l’aLPD était moins étendu que celui de la nLPD et aucun des deux textes n’impose expli­ci­te­ment de commu­ni­quer des infor­ma­tions sur les atteintes à la person­na­lité ou sur les motifs justi­fi­ca­tifs. L’aLPD prévoyait tout au plus de commu­ni­quer « éven­tuel­le­ment la base juri­dique du trai­te­ment » dans le cadre du droit d’accès (art. 8 LPD), ce qui n’a pas été repris dans la nLPD.

Néanmoins, en fonc­tion du type de données person­nelles trai­tées ainsi que de la nature et de l’ampleur du trai­te­ment, on pour­rait envi­sa­ger qu’il existe un devoir d’information à tout le moins sur les motifs justi­fi­ca­tifs du trai­te­ment pour que les personnes concer­nées puissent évaluer la licéité du trai­te­ment et le cas échéant faire valoir leurs droits.

5) Effacement et opposition

Le Préposé recom­mande encore de décrire les possi­bi­li­tés d’effacement, respec­ti­ve­ment d’opposition, appli­cables pour chaque motif justi­fi­ca­tif et de les mettre correc­te­ment en œuvre en pratique. Digitec Galaxus estime avoir anti­cipé cette recom­man­da­tion avec l’adoption de sa nouvelle décla­ra­tion de protec­tion des données.

On notera que, contrai­re­ment au RGPD (art. 14(2)© RGPD), la LPD (ancienne comme nouvelle) n’exige pas expli­ci­te­ment d’informer les personnes concer­nées de leurs droits. Cette infor­ma­tion pour­rait tout au plus rentrer dans les infor­ma­tions néces­saires pour que la personne concer­née puisse faire valoir ses droits selon l’art. 19 al. 2 ab initio nLPD. Sous réserve des infor­ma­tions mini­males expres­sé­ment prévues à l’art. 19 al. 2 nLPD qui sont requises, le contenu et degré de détails de l’information est déter­miné par le respon­sable du trai­te­ment qui pour­rait défendre un point de vue mini­ma­liste en se réfu­giant derrière le prin­cipe « nul n’est censé igno­rer la loi ».

En pratique, on peut toute­fois consta­ter que de nombreux respon­sables de trai­te­ment ont adopté des décla­ra­tions de protec­tion des données plus détaillées pour se confor­mer égale­ment aux exigences du RGPD et qu’ils four­nissent ainsi cette information.

IV. Obligation de créer un compte client

Enfin, le Préposé arrive à la conclu­sion prin­ci­pale que le fait de lier le trai­te­ment de données à l’obli­ga­tion de créer un compte client viole le prin­cipe de néces­sité et donc le prin­cipe de propor­tion­na­lité du trai­te­ment des données de l’art. 4 al. 2 aLPD (art. 6 al. 2 nLPD). Il formule une recom­man­da­tion alam­bi­quée par laquelle il suggère que l’offre alter­na­tive d’une possi­bi­lité d’achat en tant qu’in­vité, c’est-à-dire un achat pouvant être effec­tué sur la plate­forme en ligne sans enre­gis­tre­ment préa­lable, consti­tue­rait un moyen d’amé­na­ge­ment propor­tionné du trai­te­ment des données. Il semble que Digitec Galaxus ait accepté de mettre en œuvre cette alter­na­tive, sans toute­fois recon­naitre l’existence d’une obli­ga­tion légale.

La conclu­sion du Préposé peut sembler justi­fiée sous l’angle de la protec­tion des données, mais est-elle vrai­ment juste ?

La néces­sité d’un trai­te­ment, et donc sa propor­tion­na­lité, doit être mise en rapport avec la fina­lité pour­sui­vie, qui est en prin­cipe défi­nie par le respon­sable du traitement.

Le Préposé estime que la créa­tion d’un compte client ne devrait pas être néces­saire pour l’utilisateur qui souhaite simple­ment comman­der une marchan­dise en ligne, alors que Digitec Galaxus consi­dère que le compte client fait partie inté­grante d’une offre de services plus large (notam­ment gestion des commandes, person­na­li­sa­tion d’offres et parti­ci­pa­tion à la communauté).

D’un côté, le Préposé n’a pas tota­le­ment tort d’estimer que le compte client n’est pas néces­saire pour un simple achat mais, d’un autre côté, il inter­vient dans une rela­tion de services plus large qui reste en rapport avec la fina­lité initiale pour­sui­vie par Digitec Galaxus. La créa­tion d’un compte client peut présen­ter des avan­tages pour les clients en faci­li­tant le suivi des commandes et l’exercice des droits de garan­tie, voire même de certains droits de la protec­tion des données (il sera par exemple plus facile d’exercer les droits de recti­fi­ca­tion, d’effacement ou de porta­bi­lité par le biais d’un compte client). En tant que respon­sable du trai­te­ment, Digitec Galaxus doit rester libre de struc­tu­rer son offre de services de la façon qu’elle juge appro­priée tant que les personnes concer­nées sont conscientes des trai­te­ments effec­tués et qu’elles ont la possi­bi­lité de faire valoir leurs droits (comme le droit de s’opposer au trai­te­ment à des fins publi­ci­taires et de marke­ting). En effet, c’est bien le respon­sable du trai­te­ment qui déter­mine non seule­ment les fina­li­tés mais aussi les moyens du trai­te­ment (art. 3 let. i aLPD ; art. 5 let. j nLPD). Il en irait bien entendu autre­ment si Digitec Galaxus collec­tait des données person­nelles sans utilité pour l’accomplissement des fina­li­tés pour­sui­vies. Sauf en cas de viola­tion évidente, le Préposé ne devrait pas inter­ve­nir pour surpro­té­ger des clients qui ont volon­tai­re­ment fourni leurs données person­nelles et accepté la décla­ra­tion de protec­tion des données. Les clients restent libres de s’adresser à un concur­rent qui propose l’achat en tant qu’invité. Il ne faut pas non plus oublier que les utili­sa­teurs peuvent suppri­mer à tout moment leur compte client et deman­der la suppres­sion des données person­nelles qui y sont rattachées.

Enfin, on peut se deman­der si l’alternative de l’achat en tant qu’in­vité consti­tue réel­le­ment un moyen d’amé­na­ge­ment propor­tionné du trai­te­ment des données. L’achat en tant qu’in­vité donne l’illu­sion que la boutique en ligne traite moins de données person­nelles, ce qui n’est souvent pas le cas en réalité. En effet, les données person­nelles collec­tées dans le cadre d’un achat en tant qu’in­vité sont géné­ra­le­ment iden­tiques à celles deman­dées pour la créa­tion d’un compte client (à l’ex­cep­tion peut-être d’un mot de passe). La créa­tion d’un compte client doit être vue comme un moyen pour récol­ter des données person­nelles. Lors d’un achat en tant qu’invité, le respon­sable de trai­te­ment peut trai­ter, par des moyens tech­niques (cookies ou autres traceurs), exac­te­ment les mêmes données person­nelles qu’avec la créa­tion d’un compte client. Par ailleurs, le client qui achète des biens en tant qu’invité sera, dans tous les cas, amené à accep­ter une décla­ra­tion de protec­tion des données, dont les fina­li­tés sont libre­ment déter­mi­nées par le respon­sable du trai­te­ment. Il n’est en effet pas exclu qu’un respon­sable du trai­te­ment puisse utili­ser certaines données person­nelles récol­tées lors d’un achat en tant qu’invité pour d’autres fina­li­tés (par exemple envoi par cour­rier ou email de publi­ci­tés). D’ailleurs, si on analyse les décla­ra­tions de protec­tion des données des boutiques en ligne qui proposent un achat en tant qu’invité, on se rend très rapi­de­ment compte qu’il n’existe souvent pas de distinc­tion entre les données person­nelles collec­tées avec ou sans compte client et qu’elles sont utili­sées de manière géné­rale pour toutes les fina­li­tés. Au final, ce qui importe ne devrait pas être la méthode par laquelle les données person­nelles sont collec­tées, mais plutôt les fina­li­tés et trai­te­ments effec­tués par le respon­sable du trai­te­ment, confor­mé­ment à sa décla­ra­tion de protec­tion des données.

En pratique, la tendance est de prévoir la possi­bi­lité d’un achat en tant qu’in­vité, qui ne change dans le fond pas grand-chose pour le respon­sable du trai­te­ment, mais qui donne l’illu­sion d’un meilleur respect de la protec­tion des données. On notera qu’en mars 2022 la Conférence de protec­tion des données alle­mande (« DSK » qui regroupe les auto­ri­tés indé­pen­dantes de contrôle de la protec­tion des données au niveau fédé­ral et des Länder) a pris une posi­tion allant dans le même sens que notre Préposé en concluant que les respon­sables du trai­te­ment offrant des biens ou services en ligne sont géné­ra­le­ment tenus de permettre aux clients de passer des commandes via un accès invité.

V. Conclusion

Le rapport final du Préposé est parti­cu­liè­re­ment sévère à l’encontre de Digitec Galaxus avec des recom­man­da­tions très (trop ?) strictes et formalistes.

Les recom­man­da­tions du Préposé paraissent extrê­me­ment strictes au vu des circons­tances et de l’adaptation de la décla­ra­tion de protec­tion des données de Digitec Galaxus.

Par ailleurs, les prin­cipes qui se dégagent des recom­man­da­tions méritent égale­ment d’être rela­ti­vi­sés, en parti­cu­lier la mention dans la décla­ra­tion de protec­tion des données de trai­te­ments « à titre de réserve » qui devrait être possible dans la mesure du raisonnable.

Enfin, il sera inté­res­sant de voir si le Préposé est cohé­rent et pour­sui­vra son action en prenant des mesures contre les autres boutiques en ligne (dont certaines sont iden­ti­fiées dans son rapport final) qui exigent la créa­tion d’un compte client. À cet égard, il est parti­cu­liè­re­ment amusant de consta­ter que l’utilisateur qui souhaite comman­der une copie papier du 30e Rapport d’ac­ti­vi­tés du Préposé 2022/​2023 dans le Shop offi­ciel en ligne des publi­ca­tions fédé­rales devra obli­ga­toi­re­ment créer un compte pour passer commande et qu’il est éton­nam­ment impos­sible de procé­der à un achat en tant qu’invité.



Proposition de citation : Christophe Hensler, Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?, 13 mai 2024 in www.swissprivacy.law/299


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • 31e Rapport d’activités du PFPDT – Un survol (Partie 1 : Protection des données)
  • Le PFPDT guide les responsables du traitement quant à leur devoir d'informer des violations de la…
  • Comment est votre blanquette ?
  • Une nouvelle loi adaptée aux défis de l'ère numérique
Derniers articles
  • Les modèles de prix confidentiels soumis au principe de la transparence ?
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
Abonnement à notre newsletter
swissprivacy.law