Une carte d’identité comme carte de fidélité, quelle gestion pour Freedelity ?
Vous l’avez surement déjà remarqué en faisant vos courses : ces dernières années, les cartes d’identité électroniques (eID) peuvent être utilisées en guise de cartes de fidélité. Ce système est rendu possible par des entreprises, comme Freedelity, gérant les données de l’eID dans un but de fidélisation.
En novembre 2024, Freedelity, partenaire de nombreux commerces présents en Belgique, a été rappelé à l’ordre par l’Autorité de Protection des Données (APD), l’organisation qui veille au respect de la vie privée et de la protection des données.
Les infractions reprochées à Freedelity
Utiliser une carte d’identité comme carte de fidélité doit susciter une plus forte vigilance des entreprises comme Freedelity.
L’ADP a notamment remarqué que Freedelity manquait à plusieurs principes en récoltant les données des consommateurs.
Un consentement qui pose problème
L’APD estime que Freedelity ne respecte pas les principes du consentement du consommateur. En matière de RGPD, le consentement doit être :
- libre : le client ne doit pas être forcé de consentir aux conditions générales ;
- éclairé : le client doit être informé de ce qu’il adviendra de ses données ;
- spécifique : chaque donnée est utilisée pour une raison bien définie ;
- univoque : le client consente de façon claire au traitement de ses données personnelles ;
- révocable : le client doit pouvoir retirer son consentement facilement.
Une entrave à deux principes du RGPD : la minimisation et la conservation limitée des données
Pour rappel, le RGPD doit se conformer à 5 grands principes : licéité/loyauté/transparence ; limitation des finalités ; minimisation et exactitude des données ; intégration et confidentialité ; durée.
Freedelity collecte trop de données, et pendant trop longtemps (8 ans). En effet, certaines données ne sont pas nécessaires à la finalité du traitement. Par exemple, le numéro de la carte d’identité, la commune de délivrance ou encore la date de validité.
Ce que Freedelity doit corriger
L’APD a ordonné à Freedelity de se conformer au RGPD dans un délai de 4 mois, sous peine d’astreintes allant jusqu’à 5.000€ par jour de retard. Mais quelles mesures doit prendre l’entreprise ?
- Recueillir le consentement de façon conforme (voir tableau ci-dessus) ;
- Utiliser des mécanismes simples et accessibles pour recueillir le consentement. Il peut s’agir de boutons plus visibles sur les bornes et sur le site MyFreedelity, et généralement de mieux informer le consommateur quant au consentement ;
- Cesser ou supprimer la collecte de données issues de la eID qui ne sont pas indispensables. En bref, Freedelity doit mettre à jour les outils de collecte de données (bornes en magasin, portail en ligne, formulaires papier) et interdire la revente ou le transfert de données inutiles ;
- Réduire la conservation de données à maximum 3 ans.
Le mot de la fin
Toutes les entreprises qui récoltent les données personnelles des utilisateurs sont concernées par le RGPD. Loin d’être prise à la légère, la question de la confidentialité et la vie privée sont plus que jamais protégées aujourd’hui, à l’ère du numérique et de l’intelligence artificielle.
Vous avez besoin d’une vérification quant à votre conformité RGPD ? Les juristes 3.0 de Légal PME vous offrent 15 minutes en visioconférence pour vous accompagner et vous conseiller.
Allons-y !Allons-y !
Et pour être tenu au courant des actualités transmises par Légal PME, inscrivez-vous à la newsletter : un condensé bimensuel d’articles pratiques à destination des entreprises !
Je m'inscris !Je m'inscris !
→ Articles similaires de Légal PME :
- Check-list RGPD : Vérification de la conformité de l’entreprise en 10 étapes
- Pack RGPD
- Recherche privée : limites et obligations
- RGPD, les données sensibles étendues par la Cour de justice de l’UE
- Google Analytics, une utilisation qui risque de coûter cher ?
- Les entreprises face à la Cybercriminalité
- Et si le confinement vous incitait à revoir l’organisation du travail au sein de votre entreprise
- La communication combinée au RGPD
- RGPD, télétravail et confinement
- Les élections sociales et le RGPD : comment combiner les deux ?
- La concertation sociale en Belgique : une pyramide utile
- Que faire quand un travailleur concurrence son employeur
