Décidément le printemps du Préposé fédéral à la protection des données aura été prolifique. Les dossiers où son intervention a été requis en vue du prononcé de recommandations font florès, ce qui démontre que les citoyens et consommateurs sont de plus en plus exigeants en termes de respect de la loi, en cette matière.
Et parmi les dossiers traités, il en est un qui suscite stupéfaction, soit celui de la société Décathlon qui souhaitait exiger la création d’un compte client (soit la communication d’une adresse email ou d’un numéro de téléphone) avant tout achat. Motifs invoqués : renforcer les liens avec la clientèle et valoriser l’expertise de la marque ! Un modèle de vente relationnel unique en Suisse… rien de moins que cela. En termes de marketing, l’opération se comprend aisément, puisqu’il s’agit simplement d’affiner les profils de clients et de les rendre captifs. Une chasse aux données simple et efficace.
Mais voilà que ceux-ci s’interrogent et que la FRC s’en mêle. Après quelques achats effectués pour tester le système, il s’est avéré que d’autres données que celles initialement annoncées étaient collectées : nom, prénom et date de naissance. Le hic c’est que le client se voit présenter cette collecte comme nécessaire pour pouvoir continuer à effectuer des achats. Autre souci, le fait que ces données soient transférées en France alors que le futur règlement européen qui entrera en vigueur le 25 mai proscrit une telle pratique. La FRC sollicite donc logiquement que les consommateurs aient le choix de créer ou un compte pour effectuer leurs achats et en appellent au Préposé fédéral qui ouvre une procédure d’établissement des faits le 7 mai.
Concrètement, cela signifie que des doutes subsistent après avoir interrogé l’entreprise sur la légalité du procédé.
En attendant que l’enquête se termine, le conseil qui peut légitimement être donné consiste à ne pas lier la possibilité d’acquérir des biens et/ou des services à l’obligation de céder des données personnelles.
Même si cette question n’a pas encore été formellement tranchée en Suisse, les principaux généraux qui trouvent application postulent pour le caractère illégal d’une telle pratique qui restreint la liberté, la faculté d’autodétermination.
Mieux vaut donc jouer la transparence avec ses clients et ne collecter que les données absolument essentielles à votre activité.
À défaut, il existe un risque important de procédure, mais également de devoir s’expliquer devant des autorités étrangères voire de faire face à une action collective si vous offrez vos prestations à des ressortissants dans l’UE.