Beaucoup de Belges utilisent leur carte d’identité en guise de carte de fidélité afin de percevoir des points, des réductions ou des bons d’achat dans leurs commerces de prédilection. Qu’en est-il du RGPD?
Cette pratique s’explique par certains avantages. D’une part, le client est moins encombré par de nombreuses cartes de fidélité différentes. D’autre part, le commerçant ne perd plus de temps à remplir manuellement tous les formulaires de fidélité. Dans ce qui suit, nous expliquons comment cette pratique peut être considérée comme légale du point de vue de la protection des données.
En effet, tout traitement des données à caractère personnel doit se conformer au règlement général sur la protection des données (RGPD). En Belgique, l’utilisation de la carte d’identité électronique est également soumise à des règles spécifiques. La carte d’identité électronique ne peut être lue ou utilisée qu’avec le consentement libre, spécifique et éclairé de son ou sa titulaire.
Proposer une alternative
Or le consentement ne sera pas libre si le commerçant ne propose aucune autre alternative à la carte d’identité pour la création d’une carte de fidélité, puisque la personne concernée sera contrainte d’accepter afin de bénéficier des avantages. Le commerçant doit dès lors toujours veiller à proposer une alternative à la carte d’identité pour la création d’une carte de fidélité.
Par ailleurs, la minimisation des données requiert que le traitement des données soit limité à ce qui est nécessaire au regard de la finalité du traitement. En d’autres mots, il est impératif qu’uniquement le minimum de données soit utilisé. Or, avec la carte d’identité, les commerçants ont accès aux différentes catégories d’informations qui ne sont pas toutes pertinentes pour la création d’une carte de fidélité.
Lire aussi | RGPD : un enjeu technologique !
De plus, il faut tenir compte du fait que l’utilisation de la photographie du titulaire, du numéro de registre national et de l’image numérisée des empreintes digitales n’est en principe pas autorisée dans le contexte de l’emploi comme carte de fidélité.
Il s’agira donc de faire preuve de prudence pour les commerçants, car l’utilisation de toutes les données présentes sur la carte d’identité peut entraîner un traitement de données jugé “disproportionné au regard de l’objectif de la création d’une carte de fidélité”.
Commerçant sanctionné
En Belgique, l’Autorité de protection des données (“l’APD”) est l’organe de contrôle chargé de veiller au respect des principes fondamentaux de la protection des données. En 2019, cette dernière a sanctionné un commerçant qui ne proposait pas d’alternative à la création d’une carte de fidélité autre que par le biais de la carte d’identité. L’amende imposée a été annulée en appel pour des raisons procédurales, mais le principe de la violation a finalement été confirmé par la Cour de cassation.
Ces principes sont donc à garder à l’esprit lorsqu’un commerçant utilise les cartes d’identité en guise de carte de fidélité. Dans le respect de ces règles, cette pratique peut être légale du point de vue de la protection des données mais le commerçant doit toujours prévoir les précautions nécessaires lors de la mise en place d’un tel système.
Heidi Waem,
Counsel chez DLA Piper
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici