Manquements dans le traitement des données personnelles des clients d’un programme de fidélité de la filière Auchan-Sénégal.

Si les entreprises déploient des stratégies marketing personnalisées qui visent à fidéliser le consommateur, il n’en demeure pas moins qu’elles doivent conformer leurs programmes à la législation sur la protection des données personnelles en vigueur.

Le Sénégal est l’un des deux premiers pays d’Afrique de l’Ouest où l’entreprise française de grande distribution Auchan s’est déployée à une grande vitesse devenant ainsi le premier réseau de distribution sur le marché. Et pour coller au mieux aux attentes des consommateurs, l’enseigne mise sur la détention de carte de fidélité. Seulement, cette initiative de fidélisation implique une grande collecte de données personnelles devant répondre à certaines conditions. C’est l’enjeu auquel s’est confronté la Commission des données personnelles (CDP) autorité administrative de protection des données personnelles équivalente de la CNIL au Sénégal, à l’occasion du 3e avis trimestriel de l’année qu’elle a rendu.

Après un contrôle effectué par la CDP, celle-ci a admis que la chaîne de supermarchés Auchan Sénégal n’avait pas respecté plusieurs obligations prévues par la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. L’autorité reproche à la Société en premier lieu de n’avoir pas recueilli le consentement au traitement des données des clients, en deuxième lieu de n’avoir pas défini la durée exacte de conservation des données dans les conditions générales d’utilisation et en dernier lieu d’avoir procédé à la mise en œuvre du traitement sans l’autorisation de la CDP.

La décision de refus prononcée par la CDP repose sur deux principaux manquements à la loi portant sur la protection des données à caractère personnel (I). Cette dernière partage avec le RGPD un objectif commun face aux préoccupations relatives à la protection des données personnelles (II)

I. Plusieurs infractions découvertes

Très souvent dans des cas comme celui-ci, des plaintes sont adressées par les consommateurs à la CDP. Elles sont suivies de contrôles et aboutissent soit à des refus ou soit à des autorisations de traitement.

Parmi les manquements relevés contre la Société Auchan, figure en tête de liste la mention du consentement recueilli de façon non libre, avec des cases pré-cochées sur le formulaire d’adhésion au programme.

A la lecture de l’article 4-4. de la loi sénégalaise sur la protection des données à caractère personnel, le consentement est une manifestation de volonté expresse non équivoque, libre, spécifique et informé. Par conséquent le législateur sénégalais admet en son article 33 que « tout traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne son consentement ». Il poursuit en disposant que « la collecte, l’enregistrement, le traitement, le stockage et la transmission des données à caractère personnel doivent se faire de manière licite, loyale et non frauduleuse. ».

Or en l’espèce, le programme de fidélité d’Auchan Sénégal consistait à fournir aux futurs adhérents un formulaire d’adhésion au programme par lequel le consentement était recueilli au moyen d’une case pré-cochée. Ainsi l’entreprise n’a point respecté les obligations découlant des deux articles. En effet, lorsqu’un souscripteur souhaite adhérer au programme de fidélité, il coche une case. Cet acte symbolise la demande d’adhésion et subséquemment l’autorisation de traitement des données personnelles qui doit être définie en amont.

Une autre infraction constatée par la CDP concerne l’obligation de conservation des données pour une durée déterminée.

La loi prévoit en son article 22 que les demandes d’autorisations de traitement de données à caractère personnel doivent préciser la durée de conservation des informations traitées. Par ailleurs, aux termes du point 8 de l’article 58, « lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci (…) la durée de conservation des données ».

Or en ce qui concerne le traitement mis en place par Auchan, le manquement à l’obligation de limiter la durée de conservation des données est manifeste. La filiale de l’enseigne de distribution n’a pas fourni de durée exacte pour son programme de fidélité, qui, le rappelle-t-on, doit être déterminée en fonction de la finalité du traitement. Une fois cette finalité atteinte, les données doivent être supprimées ou archivées. C’est d’ailleurs ce qu’a recommandé la CDP dans son 4e avis trimestriel en fixant « une durée de deux ans pour les données de consommation et conservation des données d’identification jusqu’à la résiliation de l’adhésion par le client ».

A pesé également dans les signalements de la CDP l’attitude de l’enseigne qui est passée outre l’obligation de procéder à une demande d’autorisation de traitement auprès de la CDP. En effet, toute entreprise qui collecte et traite les données personnelles de ses clients doit faire une demande d’autorisation auprès de la CDP.

La CDP dans son dernier avis, a ordonné à l’enseigne de limiter des données collectées aux nom, prénom, date de naissance, adresse physique, adresse mail et numéro de téléphone et a exigé la révision du formulaire d’adhésion en insistant sur le consentement. Au final, la société Auchan Sénégal a appliqué les corrections exigées par la CDP.

Par ailleurs, l’encadrement juridique des traitements de données à caractère personnel doit être analysé dans une perspective comparative des droits européen et sénégalais.

II. Le RGPD et la loi sénégalaise portant sur la protection des données à caractère personnel : un objectif commun

L’Europe à travers son avancée en matière de protection des données, a le mérite d’inspirer les législations de pays tiers. De la « Convention 108 », à la Directive sur la protection des données en 1995 et aboutissant au RGPD, l’Europe n’a cessé d’être un modèle dans le monde en matière de cadre légal de sécurité des données. Pour l’instant en Afrique, 24 pays africains sur 53, ont adopté des lois et réglementations pour protéger les données personnelles.

Les défis relatifs à la protection du consommateur contre les professionnels, les défis sécuritaires relatifs à la divulgation de données sensibles, ainsi que les défis technologiques (6) ont conduit des pays comme le Sénégal à adopter des dispositions légales concernant l’accès aux données personnelles.

C’est dans ce sens que le Sénégal s’est doté d’une autorité administrative indépendante qui a fait ses preuves depuis sa création en 2008. Ainsi, plusieurs sanctions telles que des mises en demeures, des avertissements ont été adressées à des entreprises locales comme étrangères.

La législation sénégalaise assure tant bien que mal un niveau de protection équivalent à celui du RGPD. En revanche, elle dispose de peu de moyens pour y parvenir. Dès lors, une réforme de la loi sur la protection des données personnelles est donc indispensable surtout avec l’expansion d’Internet et des réseaux sociaux. Le présent règlement n’a pas encore de disposition en particulier sur l’utilisation de cookies publicitaires et de normes efficientes sur le consentement en matière de collecte importante de données.

L’idée que ces infractions soient commises par des filiales peut paraître vraisemblablement contradictoire quand on voit comment les « entreprises mères » consacrent des efforts importants pour se mettre en conformité avec le RGPD.

A cette fin, le RGPD, tout comme son équivalent, la loi sénégalaise portant sur la protection des données à caractère personnel, a pour mission d’encadrer le traitement des données personnelles.

Le RGPD a vocation à s’appliquer sur l’échelle mondiale. En effet il s’applique aux transferts et traitements concernant des personnes se trouvant en Union Européenne même si le responsable n’est pas établi dans l’Union (Article 3-3). Cependant, l’on pourrait soulever la question de l’élargissement du champ d’application. En d’autres termes, l’UE pourrait envisager de soustraire au RGPD les entreprises européennes établies à l’étranger et opérant des traitements de données personnelles dans leurs activités. Cela aurait le mérite d’impacter positivement l’écosystème numérique mondial et d’assurer au mieux, en collaboration avec les législations locales, un cadre de protection des données personnelles des citoyens.

Sources :