L'autorité suisse estime que le fait d’obliger l’acheteur à créer un « compte client » pour acheter en ligne, viole le principe de proportionnalité. Elle propose d’instituer le « compte invité », sorte de juste milieu entre l’achat anonyme et la création du compte client. Une petite révolution en vue … ?
Un site de commerce électronique peut-il imposer la création d’un « compte client » pour effectuer un achat ? Doit-il prévoir une alternative, par exemple la possibilité de créer un « compte invité » ?
Voilà, en substance, l’une des questions auxquelles le Préposé fédéral à la protection des données et à la transparence (PFPDT) vient de répondre dans sa décision de ce jour en cause de Digitec.`
Digitec Galaxus (membre du groupe Migros) est un poids lourd du commerce en ligne en Suisse. Elle est divisée en deux principales plateformes de vente :
Digitec Galaxus requérait que tous les utilisateurs créent un compte client pour effectuer des achats, impliquant l’acceptation de sa politique de traitement des données.
Cela impliquait le consentement à des pratiques de collecte et d’analyse de données détaillées, y compris le suivi des comportements d’achat et des préférences personnelles.
Digitec plaidait que la création d’un compte client était nécessaire notamment afin d’établir les préférences des clients et gérer les services après-vente, réduire le travail administratif, améliorer la qualité du service client en facilitant le suivi des interactions passées, et prévenir les fraudes. Elle soulignait aussi l’intérêt, pour le client, d’une personnalisation de l’expérience d’achat (en affichant des recommandations de produits basées sur les préférences et les achats antérieurs des utilisateurs) et la participation à la communauté Digitec (critiques, notation, etc.).
Elle affirmait en ce sens que (traduction libre) :
« Le compte client est la principale interface pour les informations sur l’historique des commandes, pour la gestion des paramètres du client et pour le pilotage d’autres services : ces fonctionnalités, selon Digitec Galaxus AG, nécessitent un compte client, considéré par l’entreprise comme faisant partie de son service. Selon Digitec Galaxus AG, il est dans l’intérêt des clients eux-mêmes d’avoir un compte client, qui leur offre diverses options de gestion, également pertinentes pour la protection des données. Le compte est également dans l’intérêt de l’entreprise, car il réduit l’effort requis pour un service client de haute qualité et permet à l’entreprise d’analyser les comportements des clients et de détecter et réagir aux activités frauduleuses en cas de changement de comportement notable.
Le compte permet la personnalisation de la présentation de l’assortiment dans la boutique en ligne et l’affichage des articles récemment visités et la création de listes de souhaits : cela est indispensable, selon Digitec Galaxus AG, pour que les clients puissent naviguer dans la boutique en ligne. Les personnalisation basées sur les données de comportement des visites (cookies) ne sont pas fiables et ne fonctionnent pas de manière inter-appareils.
Le compte est nécessaire pour permettre aux clients de participer à la ‘Communauté’ Digitec, ce qui est un aspect essentiel de l’offre de services de Digitec Galaxus AG : Digitec Galaxus AG n’est pas seulement une boutique en ligne, mais une plateforme avec une communauté active d’utilisateurs qui interagissent entre eux, avec Digitec Galaxus AG et avec les produits en écrivant des avis. Les avis sans compte client ne sont pas contrôlables en termes de respect des lois sur la concurrence selon Digitec Galaxus AG. »
Le PFPDT a estimé que l’exigence liée à l’obligation de création d’un compte violait le principe de proportionnalité.
Il invoque le principe fondamental de proportionnalité, d’où il découle que le traitement des données doit être adéquat, pertinent et non excessif par rapport aux objectifs poursuivis.
Or, pour le PFPDT, en exigeant un compte client pour tout achat, et donc la collecte et l’utilisation conséquente de données personnelles, Digitec Galaxus allait au-delà de ce qui était nécessaire pour la simple transaction commerciale.
La décision estime que (traduction libre) :
« Le Préposé conclut en outre que le fait de lier le traitement des données examiné à l’obligation de créer un compte client viole le principe de proportionnalité. Il propose à Digitec Galaxus une adaptation du traitement des données qui n’empiète pas plus que nécessaire sur le droit à l’autodétermination informationnelle de ses clients. De l’avis du Préposé, l’offre alternative d’une possibilité d’achat en tant qu’invité, c’est-à-dire un achat qui peut être effectué sur la plateforme en ligne sans enregistrement préalable, constitue un moyen d’aménagement proportionné du traitement des données. »
Le Préposé a recommandé à Digitec Galaxus d’adopter une approche moins intrusive envers les droits à l’autodétermination informationnelle de ses clients. Il a proposé la mise en place d’une option d’achat en tant qu’invité, permettant ainsi aux utilisateurs de faire des achats sans créer de compte client et sans fournir plus de données personnelles que nécessaire.
Digitec Galaxus a du reste accepté cette recommandation et a annoncé qu’elle présenterait des propositions pour se conformer à la loi en temps voulu.
La décision vient d’être rendue, elle doit encore être analysée.
Elle n’aborde par exemple pas la question de la nature du produit ou du service qui fait l’objet de l’offre : on n’achète pas un câble USB de la même manière qu’un médicament ou un produit personnalisé. Cet aspect des choses semble avoir été un peu sous-exploité.
La décision n’aborde pas non plus la question de l’incitant : si la pratique du « compte invité » devait se généraliser, peut-on alors offrir un avantage (des points de fidélité ou une réduction de prix par exemple) destiné à inciter le client à créer le compte ?
Enfin, nul ne sait comment cette décision sera reçue au sein de l’union européenne : même si le droit Suisse est extrêmement proche, il n’est pas identique au RGPD.
Signalons toutefois qu’une décision finlandaise semble avoir été dans le même sens récemment. Le site concerné vendait une large panoplie de biens (ordinateurs, périphériques informatiques et logiciels, téléviseurs, appareils audio, jouets, sport, nourriture, jouets et accessoires pour animaux de compagnie, aticles de puériculture et autres nécessités pour les jeunes enfants, etc.).
Verkkokauppa.com justifiait l’exigence de création de compte par la nécessité d’une identification fiable des clients et par la capacité de maintenir des obligations de responsabilité, affirmant que cela permettait également d’exercer les droits des utilisateurs tels que l’accès et la correction de leurs informations personnelles, et de gérer les consentements pour le marketing direct.
L’autorité finlandaise a jugé que la pratique de Verkkokauppa.com d’exiger la création de comptes pour les achats en ligne n’était pas conforme avec les articles 5(1)(e) et 25(2) du RGPD, qui concernent la limitation de conservation des données et la protection des données par défaut. L’autorité a conclu que cette exigence conduit à la conservation des données personnelles plus longtemps que nécessaire pour les simples transactions d’achat. Le site a été enjoint de changer ses pratiques pour s’assurer que les données des utilisateurs ne soient conservées que pour la durée strictement nécessaire à la finalité de leur traitement. Cela signifie que les données ne devraient pas être conservées indéfiniment sans une demande de suppression de la part de l’utilisateur.
Une généralisation de ces décisions est susceptible de changer de façon très significative le commerce en ligne. L’affaire est donc importante.
La décision suisse, disponible uniquement en allemand, est jointe.
Nous joignons aussi la décision finlandaise (en finnois).
Decision Digitec du 17 avril 2024
Decision finlandaise du 6 mars 2024