Au tour de Digitec Galaxus de critiquer le PFPDT (update)
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié le rapport final de son enquête sur Digitec Galaxus. Les critiques soulèvent la question de l'équilibre entre la transparence et l'exhaustivité dans les déclarations de protection des données. Digitec Galaxus a réagi, regrettant entre autres que le PFPDT s'immisce ainsi dans la liberté économique.
Mise à jour du 18 avril 2024: Digitec Galaxus a réagi publiquement au rapport le concernant publié par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Concernant la recommandation de décrire de façon plus précise le traitement des données effectué (et de limiter les informations aux données effectivement traitées), le géant suisse de l’e-commerce explique dans son communiqué qu'il n'est ni utile ni nécessaire de développer encore plus la déclaration de protection des données, déjà très complète. Une déclaration de protection des données encore plus longue et en constante évolution ne serait pas dans l'intérêt de la clientèle, juge l'entreprise.
Digitec Galaxus cite aussi David Vasella, juriste spécialisé dans le droit de la protection des données, qui l’a conseillé dans le cadre de la procédure du PFPDT: «Avec ses recommandations, le PFPDT va souvent au-delà de ce qu'exige le droit de la protection des données, même pour des traitements anodins. Ce faisant, il impose des directives sur la conception de l'offre et s'immisce ainsi dans la liberté économique au lieu de se limiter à l'application correcte du droit de la protection des données.»
News du 17 avril 2024: Les reproches du PFPDT à l'égard de Digitec Galaxus soulèvent aussi des questions
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié le rapport final de son enquête concernant le géant suisse de l’e-commerce Digitec Galaxus. Le PFPDT critique premièrement la déclaration de protection des données de Digitec Galaxus, exigeant une description plus précise et limitée aux données effectivement traitées. L’objectif étant de lutter contre le traitement des données «à titre de réserve» et d’augmenter la transparence. Cette recommandation a été rejetée par Digitec Galaxus.
Deuxièmement, le rapport indique que l'obligation pour les clients de créer un compte viole le principe de proportionnalité. Le PFPDT suggère donc d'offrir la possibilité d'acheter en tant qu'invité, une recommandation que Digitec Galaxus a acceptée.
Sylvain Métille, Professeur en protection des données à l’UNIL et avocat de l'étude HDC, a commenté ce rapport sur Linkedin. Il rappelle notamment qu'il s'agit d'une procédure conduite sous l'ancienne LPD et que les recommandations formulées par le PFPDT ne sont pas contraignantes. L'expert souligne en outre que la recommandation consistant à ne décrire que les traitements de données qui sont vraiment effectués est difficile à mettre en place pour le responsable du traitement. «L'équilibre entre informer sur les traitements potentiels (pour être sûr d'être complet et ne pas commettre une infraction pénale) et seulement sur les traitements réellement effectués (pour bien renseigner la personne concernée) est toujours délicat. Cela pose aussi la question de savoir si l'information précise sur un traitement concret doit découler de la déclaration de protection des données ou de la réponse au droit d'accès», explique Sylvain Métille.
A noter que la deuxième problématique soulevée, à savoir la violation du principe de proportionnalité par l'obligation de créer un compte client, se pose aussi dans le cadre d’achats physiques. On se souvient que Decathlon Suisse avait mis en place un programme omnicanal obligeant les clients à fournir des données personnelles pour faire un achat en magasin. Face aux critiques, l’enseigne sportive avait finalement renoncé à cette pratique.
