Quarante-sept pages. C’est ce qu’obtient un client après dix ans de fidélité à Carrefour quand il exerce son droit d’accès aux données. Des pages et des pages de tickets de caisse numérisés, de catégories de produits achetés, de segments marketing, d’historiques d’adresses, de numéros de téléphone, parfois de composition du foyer. Le tout collecté sans que ce client ait jamais vraiment réalisé l’ampleur de la mécanique en marche à chaque passage en caisse.
Ce n’est pas un cas isolé. En acceptant, les yeux fermés, d’obtenir une carte de fidélité, le consommateur partage ses données personnelles avec le magasin. De plus, avec toute la chaîne, les sociétés filiales, les sociétés partenaires, les sous-traitants, les franchisés et des sociétés qui analysent son comportement d’achat. Ce que la plupart des gens ignorent, c’est que le droit de tout voir existe depuis 2018. Et que très peu de personnes l’exercent.
À retenir
- Votre carte de fidélité enregistre bien plus que vos achats : vos enfants, votre budget, vos préférences alimentaires
- Carrefour a déjà été sanctionné pour avoir conservé les données de 28 millions de clients inactifs pendant 5 à 10 ans
- Vous pouvez exiger gratuitement l’accès à vos données et les faire supprimer — mais peu de gens le savent
Ce que la carte sait vraiment de vous
La liste est plus longue qu’on ne l’imagine. Les données traitées dans le cadre d’un programme de fidélité incluent les données d’identification (nom, prénom, date de naissance, sexe, numéros de carte, numéro de téléphone), les données de vie personnelle (adresse postale et électronique, informations relatives aux personnes composant le foyer du titulaire), ainsi que les données issues des campagnes publicitaires réalisées via différents supports de communication, telles que les données de navigation.
Mais ce n’est pas tout. Le programme de fidélité utilise ces données pour offrir des avantages personnalisés en fonction des préférences et habitudes d’achat du client. La société recourt également aux services d’un tiers sécurisé pour recouper les données qu’elle détient afin d’obtenir des informations plus précises sur les titulaires, établir une segmentation selon le profil du client et permettre l’envoi d’offres personnalisées. En clair : vous êtes un profil, avec des cases cochées que vous n’avez pas remplies vous-même.
Cette stratégie de profilage existe depuis au moins une dizaine d’années, mais les capacités de calcul des ordinateurs permettent aujourd’hui un traitement beaucoup plus précis de l’information. Les algorithmes ne se contentent plus de noter que vous achetez du café. Ils déduisent si vous avez des enfants, si vous avez tendance à manger sainement, si votre budget est serré en fin de mois. Des données transactionnelles telles que les produits achetés, les montants des achats et les dates des achats sont collectées automatiquement lors du scan de la carte client ou lors d’achats en ligne.
Cerise sur le gâteau : les données personnelles collectées dans le cadre des finalités décrites peuvent être transmises à des sociétés situées dans des pays hors Union européenne, et notamment aux États-Unis. Vos habitudes alimentaires belges peuvent donc voyager outre-Atlantique.
Carrefour épinglé, et pas qu’une fois
L’enseigne n’a pas attendu qu’un client curieux ouvre un fichier de 47 pages pour avoir des comptes à rendre. En 2020, la CNIL française a sanctionné le groupe après une investigation poussée. La formation restreinte de la CNIL a sanctionné la société Carrefour France d’une amende de 2 250 000 euros et la société Carrefour Banque d’une amende de 800 000 euros.
Les manquements étaient nombreux. Carrefour Banque indiquait explicitement qu’aucune autre donnée n’était transmise à Carrefour France lors de la souscription à une carte de paiement. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et, le cas échéant, le nombre d’enfants déclarés. Des données communiquées dans le dos des clients, donc.
Mais le problème le plus frappant reste la conservation excessive. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans. Vingt-huit millions de personnes dont les courses de la décennie précédente dormaient dans des serveurs. La formation restreinte a d’ailleurs considéré qu’une durée de conservation de quatre ans des données clients après leur dernier achat était excessive, dans la mesure où elle excède ce qui apparaît nécessaire dans le domaine de la grande distribution.
En Belgique, l’Autorité de protection des données (APD) a également sanctionné un commerçant pour une logique similaire. Le principe de minimisation, principe important du RGPD, impose aux responsables du traitement de limiter la quantité de données personnelles collectées à ce qui est strictement nécessaire au vu du but poursuivi. La Chambre Contentieuse a estimé que la lecture et l’utilisation de toutes les données présentes sur la carte d’identité électronique dans un cadre commercial constituent des traitements disproportionnés au regard de l’objectif de création d’une carte de fidélité.
Comment exercer votre droit d’accès, concrètement
Depuis mai 2018, il existe un règlement qui établit la manière dont les personnes et les services doivent traiter vos données : le Règlement général sur la protection des données (RGPD). Ce texte vous confère un droit d’accès que vous pouvez exercer auprès de n’importe quelle enseigne où vous disposez d’une carte de fidélité. Sans avoir à vous justifier. L’exercice du droit d’accès n’est pas conditionné : une personne n’a pas à motiver sa demande.
La procédure est simple. La forme importe peu : un e-mail, un courrier postal, un formulaire web, voire une demande orale sont des canaux valides. Le RGPD n’impose aucune forme particulière. Une fois votre demande envoyée, la réponse doit être fournie dans un délai d’un mois maximum pour une demande simple, ou trois mois maximum pour une demande complexe. La gratuité est garantie : la personne concernée a le droit d’obtenir gratuitement une copie de ses données à caractère personnel.
Ce que vous recevez doit aller bien au-delà d’un simple listing. L’article 15.1.g du RGPD dispose que le responsable du traitement doit fournir à la personne concernée « toute information disponible » quant à la source des données lorsque celles-ci n’ont pas été collectées directement auprès d’elle. Vous avez donc le droit de savoir si vos données ont été achetées, louées ou croisées avec d’autres bases.
Et si l’enseigne ne répond pas dans les délais ? Vous pouvez déposer une plainte auprès de l’Autorité de protection des données belge (APD), rue de la Presse 35, à Bruxelles. Le RGPD confère des droits clairs aux clients : ils peuvent à tout moment demander quelles données sont stockées et les faire corriger ou supprimer. Ils peuvent également s’opposer au traitement à des fins publicitaires.
Une fois le fichier en main, vous disposez aussi d’autres leviers. Le droit à l’oubli permet à chacun d’exiger que ses données soient supprimées. Le droit à la portabilité permet quant à lui de disposer de ses données et de les transmettre à qui on le souhaite. Ces droits sont cumulables avec le droit d’accès.
La vraie question : qu’est-ce qu’on fait avec ça ?
Recevoir un fichier de 47 pages, c’est déstabilisant. La première réaction, souvent, est la sidération : tout ce temps, tout ce suivi, tout ce catalogage silencieux. Mais cette prise de conscience a une valeur pratique réelle. Une fois les données visualisées, vous pouvez identifier les informations inexactes et les faire corriger, retirer vos consentements aux fins publicitaires, demander la suppression des données que vous estimez disproportionnées, ou tout simplement décider de ne plus utiliser la carte.
Le cas de Delhaize en Belgique illustre d’ailleurs une tendance qui se généralise dans le secteur : lors de l’enregistrement d’une carte de fidélité, certaines enseignes proposent désormais plusieurs profils. Avec le profil basique, le supermarché n’analyse pas vos achats. Les autres profils offrent des avantages plus intéressants, mais impliquent également le partage d’un plus grand nombre de données. C’est un modèle qui au moins nomme le compromis clairement. L’idéal serait que tous les acteurs du secteur l’adoptent, mais rien, dans le RGPD, ne les y oblige.
Sources : autoriteprotectiondonnees.be | formations-rgpd-et-cyber.lenetexpert.fr