Ce que vous devez savoir.

L'Autorité belge de protection des données (“APD”) et la Cour des marchés belge (en néerlandais) ont déjà statué sur l'utilisation de la carte d'identité électronique (“eID”) pour créer une carte de fidélité  donnant droit à des réductions. Dans un arrêt récent (en néerlandais), la Cour de cassation belge a également apporté sa contribution à ce débat. La décision en question contient des informations intéressantes sur les droits des personnes concernées, le principe de la minimisation des données et le libre consentement, qui peuvent également être pertinents en dehors de la Belgique.

La Cour de cassation précise que les personnes concernées peuvent exercer leurs droits (par exemple le droit à la minimisation des données) même si leurs données à caractère personnel n'ont pas été traitées. Si une personne concernée refuse de donner son consentement (et donc refuse le traitement) en raison d'une infraction présumée, et par conséquent ne parvient pas à obtenir un avantage ou un service, il peut tout de même y avoir une violation du RGPD si l'autorité de contrôle constate, après enquête, que la pratique constitue effectivement une infraction. Selon la Cour, le RGPD est en effet enfreint lorsque les personnes concernées sont obligées de faire traiter les données à caractère personnel conformément à une pratique illicite afin qu'elles puissent bénéficier d'un avantage ou d'un service. Sur la base d'une décision récente (en néerlandais), l’APD ne semble se tenir à cette jurisprudence s'il existe effectivement une autre possibilité d'utiliser le service, n'enfreignant pas le RGPD. Dans cette décision, l’APD a jugé que la personne concernée n'avait pas d'intérêt justifiant le dépôt d'une plainte et a donc rejeté la plainte.

En outre, la Cour de cassation a nuancé la position de la Cour des marchés sur la notion de consentement « libre ». La Cour des marchés semblait affirmer que la perte d’un éventuel avantage supplémentaire (c'est-à-dire, de remises) ne pouvait jamais être considéré comme une conséquence négative. Selon la Cour des marchés, il en va autrement lorsque le consentement est lié à l'obtention ou à la conservation d'un droit légal ou contractuel (par exemple, du droit à une garantie). La Cour de cassation précise que la perte d'un avantage ou d'un service en cas de refus de consentement peut en effet conduire à ce que le consentement ne soit pas librement donnée. La Cour des marchés devrait réexaminer cette question in concreto.

Ce que vous devez faire.

Si une personne concernée estime qu'elle ne peut pas consentir librement au traitement, par exemple parce que votre entreprise ne respecte pas les principes de la minimisation des données ou de l'intégrité et confidentialité, elle a le droit de déposer une plainte auprès de l'autorité compétente en matière de protection des données. Un traitement effectif de ses données à caractère personnel n'est pas requis pour démontrer un intérêt réel à porter plainte, mais le refus de traitement doit porter sur ses données à caractère personnel et doit l'empêcher de profiter du service ou de l'avantage.

Si votre entreprise souhaite utiliser l'eID comme carte de fidélité, vous devez respecter le principe de la minimisation des données. Seules les données à caractère personnel réellement nécessaires à la création et à la gestion de la carte de fidélité pourront être lues. Portez une attention particulière à la lecture du numéro de registre national, de l'image et des empreintes digitales. Le traitement de ces données est soumis à des conditions strictes.

Afin d'exercer leurs droits en vertu du principe de la minimisation des données, il est nécessaire que les personnes concernées sachent exactement quelles données à caractère personnel sont utilisées et à quelles finalités, pendant combien de temps elles sont conservées et à qui elles peuvent être transférées. Il est extrêmement important d'inclure correctement ces informations dans votre déclaration de confidentialité et de rendre ce document accessible avant le traitement.

En Belgique, l'eID pour l'utilisation d'une carte de fidélité ne peut être lue ou utilisée qu'avec le consentement libre, spécifique et éclairé de son titulaire. De plus, il est également obligatoire de prévoir une alternative. Par exemple, pour la création de vos cartes de fidélité, vous pouvez également prévoir une procédure d'enregistrement manuel des données clients, dont vous devez également informer la personne concernée de manière suffisamment claire.

Enfin, si vous attachez des remises à l'utilisation d'une carte de fidélité (et au traitement de données à caractère personnel associées), il convient d'examiner (et de documenter) que la perte de ces réductions si une personne concernée ne souhaite pas partager de données á caractère personnel n'entraîne pas de “conséquence négative”. L'EDPB confirme également que le RGPD n’exclut pas tous les incitants à obtenir le consentement, mais qu'il appartient à votre entreprise de démontrer que le consentement a bien été donné librement en toutes circonstances.

Nous attendons déjà avec impatience l'arrêt de la Cour des marchés, qui doit désormais remplacer l'arrêt annulé par la Cour de cassation. Nous vous tiendrons informés à ce sujet.