eWatchers.org

Plainte n° 28-6897 du 23 février 2022 concernant la société BOULANGER

52 lignes (2 043 mots)

I. CONSTATATIONS

1. La société BOULANGER S.A (ci-après BOULANGER) édite le site BOULANGER.COM. Ce site permet aux internautes d’acheter du matériel, notamment électroménager et multimédia. La société indique proposer 25 000 références (source : https://www.boulanger.com/info/corporate/presentation).

2. Le site BOULANGER.COM contient une page permettant aux internautes de créer un compte personnel (https://www.boulanger.com/account/signup). Cette page contient un formulaire composé de champs à remplir suivi d’un bouton intitulé « Créer mon compte » suivi, notamment, d’une case à cocher, décochée par défaut, associée au texte suivant : « Je m’oppose à l’utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. » (cf. ANNEXE E).

Tableau expliquant les finalités, les données traitées, la base légale et la durée de conservation des données
ANNEXE E : Copie d’écran de la page de création de compte du site BOULANGER.COM contenant le mécanisme étudié

3. Cette case à cocher, située après le bouton de validation du formulaire utilise un mécanisme d’« opt-out », c’est-à-dire que le fait de sélectionner cette case permet de s’opposer au traitement associé.

II. MANQUEMENTS

Sur la caractérisation du traitement

4. Il est difficile de comprendre avec certitude l’intitulé du texte associé à cette case, car des formulations floues sont utilisées, comme « tels que » ou « etc », et car le texte fait référence à des termes, comme « Valiuz » ou « Oney », qu’un utilisateur, même éclairé, ne peut pas comprendre.

Ce texte contient toutefois le terme de « publicités ciblées » et les noms « Facebook » et « Google » qui sont des acteurs majeurs de la publicité ciblée. On peut, par conséquent, légitimement penser que ce traitement consiste à traiter des données sur la personne qui crée son compte afin de lui proposer des publicités ciblées.

5. La politique relative à la protection des données du site BOULANGER.COM (https://www.boulanger.com/evenement/infos-legales) contient une section intitulée « Pourquoi Boulanger collecte mes données personnelles ? ». Cette section liste de façon exhaustive les traitements réalisés par la société BOULANGER :
- « Tenue de la base CRM client/prospect » ;
- « Commande, livraison, facturation, service après-vente, informations sur le suivi de commande et comptabilité client » ;
- « Relation client » ;
- « Gestion du programme de fidélité » ;
- « Prospection commerciale directe et indirecte (par exemple les listes d’audience), mesures d’efficacité des campagnes publicitaires, Profilage à des fins de personnalisation » ;
- « Communautés Boulanger » ;
- « Prise de RDV » ;
- « Opérations techniques (normalisation des adresses postales, enrichissement, déduplication) » ;
- « Prévention de la fraude » ;
- « Enregistrement & gestion des candidatures ».

De tous ces éléments, la partie intitulée « Prospection commerciale directe et indirecte (par exemple les listes d’audience), mesures d’efficacité des campagnes publicitaires, Profilage à des fins de personnalisation » (cf. ANNEXE F) semble concerner le traitement associé à la case étudiée, car la publicité ciblée inclut une opération de profilage.

Le bouton de validation du formulaire suivi de la case à cocher étudiée.
ANNEXE F : Copie d’écran d’une section de la politique relative à la protection des données du site BOULANGER.COM

Cette partie indique que les données traitées dans le cadre de ce traitement sont les suivantes :

- « Identité : civilité, nom, prénom, adresse postale, numéro de téléphone (fixe et/ou mobile, adresse de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client » ;
- « Données aux historiques des achats : numéro de commande, détail de l’achat et/ou de l’abonnement et/ou du service souscrit (produit acheté, montant, date et lieu d’achat) » ;
- « Données de navigation : IP, historique de navigation comme les pages consultées, les clics effectués... ».

Cette partie indique, par ailleurs, que trois bases légales sont utilisées pour justifier les traitements en lien avec l’intitulé présenté précédemment :

- « Consentement : Prospection directe par Email et/ou SMS ; Localisation » ;
- « Consentement aux cookies publicitaires pour l’affichage de publicités ciblées, la reconnaissance client, la mesure d’efficacité des campagnes publicitaires » ;
- « Intérêt légitime de Boulanger : Prospection directe par Email et/ou SMS pour un client sur un produit ou service analogue ; Prospection indirecte ; Profilage à des fins de personnalisation ; Mesures d’efficacité des campagnes ».

Le terme de « publicité ciblé » est présent qu’une seule fois dans ces explications, dans la partie intitulée « Consentement aux cookies ».

6. D’après l’intitulé associé à la case à cocher et d’après la politique relative à la protection des données du site BOULANGER.COM, on peut, par conséquent, légitimement penser que le traitement associé à la case à cocher initiale devrait être réalisé avec le consentement de l’utilisateur.

Sur l’obligation de réaliser un traitement de manière licite

7. L’article 4-11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

8. Le mécanisme présenté ne permet pas de collecter le consentement des personnes conformément aux exigences du RGPD, car, d’une part, l’information apportée ne permet pas aux personnes de faire un choix éclairé et, d’autre part, le consentement au traitement ne représente pas un acte positif clair de la personne.

9. En supposant que le traitement est soumis au consentement, comme on peut légitimement le faire d’après l’intitulé associé à la case à cocher et d’après le contenu de la politique relative à la protection des données du site BOULANGER.COM, et en constatant que la société BOULANGER utilise un mécanisme ne permettant pas d’obtenir un consentement valable, la société BOULANGER réalise un traitement de données illicite sur son site BOULANGER.COM, ce qui est enfreint l’article 5-1-a du RGPD, qui demande de traiter les données « de manière licite ».

Sur l’obligation de réaliser un traitement de manière transparente

10. Que le traitement soit fondé sur le consentement de la personne ou justifié par d’autres motifs, le texte associé à cet élément ne permet pas de comprendre avec précision le traitement réalisé par la société BOULANGER. La politique relative à la protection des données du site BOULANGER.COM n’apporte pas de précision, les communications échangées avec le Délégué à la Protection des données non plus (cf. SECTION III).

En réalisant un traitement sur les données à caractère personnel de ses clients sans apporter une information adaptée, la société enfreint l’article 5-1 du RGPD.

Sur l’obligation de réaliser un traitement de manière loyale

11. Le Délégué à la Protection des données de la société BOULANGER a été contacté (cf. SECTION III), mais aucune précision n’a été apportée et la société n’a pas souhaité modifier son dispositif dans l’immédiat. Le mécanisme étudié n’est donc pas le résultat d’une erreur humaine, mais le résultat d’une volonté de la part de la société BOULANGER.

12. Par ailleurs, ce mécanisme est situé après le bouton de création de compte. Les personnes ne voient donc pas nécessairement ce mécanisme, à part s’ils continuent de faire défiler la page puis reviennent en arrière pour valider la création du compte.

13. En utilisant volontairement un texte incompréhensible, en situant le mécanisme d’opposition après le bouton de création, c’est-à-dire dans un endroit que la personne ne verra pas nécessairement et en fournissant une information peu transparente, la société BOULANGER traite et partage avec des sociétés spécialisées dans la publicité ciblée de nombreuses données sur ses clients (l’identité des clients, l’historique de leurs achats, leurs données de navigation) de façon déloyale, ce qui enfreint l’article 5-1 du RGPD.

Sur l’éventualité de justifier le traitement par des intérêts légitimes

14. Dans l’éventualité où la société BOULANGER ne partagerait pas l’analyse précédente concluant que le traitement est soumis au consentement et justifierait ce traitement par des « intérêts légitimes », les éléments suivants devraient être considérés.

Premièrement, l’information proposée par la société BOULANGER, que ce soit le texte associé à la case étudiée, la politique relative à la protection des données du site BOULANGER.COM ou les communications du Délégué à la Protection des Données de la société BOULANGER, ne permettent pas d’affirmer avec certitude que le traitement étudié est justifié par des intérêts légitimes de la société BOULANGER, ce qui enfreint le principe de transparence de l’article 5 du RGPD.

Deuxièmement, l’information proposée par la société BOULANGER ne permet pas de démontrer que les intérêts légitimes de la société BOULANGER à diffuser des publicités ciblées prévalent aux intérêts ou aux libertés et droits fondamentaux des personnes. En l’absence d’une telle démonstration, les intérêts des personnes devraient prévaloir et le traitement réalisé par la société BOULANGER devrait être jugé illicite.

Troisièmement, la politique relative à la protection des données du site BOULANGER.COM indique recourir au consentement des personnes pour justifier « l’affichage de publicités ciblées » via des cookies. Cela voudrait ainsi dire que la société justifie deux traitements ayant la même finalité, à savoir la diffusion de publicités ciblées, avec deux bases légales différentes, le consentement et des intérêts légitimes. Soit la société BOULANGER juge que le consentement est adapté ou nécessaire pour justifier un traitement en vue de diffuser des publicités ciblées, soit la société BOULANGER juge et démontre qu’elle a des intérêts légitimes à le faire, mais il est incohérent de réaliser un même traitement avec deux raisonnements contradictoires.

III. COMMUNICATION AVEC LA SOCIÉTÉ

15. Le 20/01/2022, un courriel (cf. ANNEXE A) a été envoyé au Délégué à la Protection des Données de la société BOULANGER pour l’alerter que la page d’inscription du site BOULANGER.COM utilise un mécanisme ne permettant pas d’obtenir un consentement valable et pour demander la modification du dispositif.

16. Le 25/01/2022, un courriel (cf. ANNEXE B) a été reçu du Délégué à la Protection des Données de la société BOULANGER pour indiquer des éléments permettant de « clarifier » la situation. Les éléments apportés ne permettent toutefois pas d’éclaircir la situation, à mon sens.

17. Le 25/01/2022, un courriel (cf. ANNEXE C) a été envoyé au Délégué à la Protection des Données de la société BOULANGER pour expliquer que, d’après les explications de la politique relative à la protection des données de BOULANGER.COM, le consentement des personnes devrait être obtenu et pour demander, à nouveau, la modification du dispositif.

18. Le 14/02/2022, un courriel (cf. ANNEXE D) a été reçu du Délégué à la Protection des Données de la société BOULANGER pour indiquer mener une réflexion sur l’évolution du dispositif.

IV. DEMANDES

19. La société BOULANGER devrait fournir une information claire et compréhensible pour permettre à ses clients de faire des choix éclairés.

20. La société BOULANGER devrait obtenir le consentement des personnes avant de traiter les données à caractère personnel de ses clients à des fins de publicité ciblée.

21. La société BOULANGER devrait informer ses clients que leurs données à caractère personnel ont été divulguées à des sociétés spécialisées dans la publicité ciblée.

22. La société BOULANGER devrait démontrer que ses intérêts légitimes prévalent aux intérêts et droits des personnes si elle ne souhaite pas recourir au consentement pour justifier un traitement de données à caractère personnel à des fins de publicité ciblée.

Annexes jointes :

- ANNEXE A : Courriel envoyé le 20/01/2022 au Délégué à la Protection des Données de la société BOULANGER ([RETIRÉ]@BOULANGER.COM)

- ANNEXE B : Courriel reçu le 25/01/2022 de [RETIRÉ] ([RETIRÉ]@BOULANGER.COM), Délégué à la Protection des Données de la société BOULANGER, en réponse au messagé envoyé (cf. ANNEXE A)

- ANNEXE C : Courriel envoyé le 25/01/2022 à [RETIRÉ] ([RETIRÉ]@BOULANGER.COM), Délégué à la Protection des Données de la société BOULANGER, en réponse au message reçu (cf. ANNEXE B)

- ANNEXE D : Courriel reçu le 14/02/2022 de [RETIRÉ] ([RETIRÉ]@BOULANGER.COM), Délégué à la Protection des Données de la société BOULANGER, en réponse au messagé envoyé (cf. ANNEXE C)

- ANNEXE E : Copie d’écran de la page de création de compte du site BOULANGER.COM (https://www.boulanger.com/account/signup) contenant le mécanisme étudié

- ANNEXE F : Copie d’écran de la section intitulée « Pourquoi Boulanger collecte mes données personnelles ? » de la politique relative à la protection des données du site BOULANGER.COM (https://www.boulanger.com/evenement/infos-legales#ong-private)

Le texte correspond au texte original. Des modifications visuelles ont pu toutefois être apportées pour améliorer la lecture du document.