La marketplace Temu retire son offre « Cash reward »

par Yanis IDRI, étudiant du Master 2 Droit des médias électroniques

Temu, la marketplace chinoise, souvent qualifiée « d’aspirateur de données personnelles », s’illustre encore une fois pour son mépris apparent du règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données ou RGPD). La plateforme a récemment lancé une opération controversée appelée « Cash reward » qui permettait aux utilisateurs de recevoir 100 euros (20 euros versés sur un compte PayPal et 80 euros en bon d’achat à dépenser sur la plateforme), en échange de la vente d’une partie de leurs données personnelles. Initialement lancée en Angleterre, l’offre a été disponible quelques jours en France avant d’être retirée peu après son lancement.

Peut-on payer avec ses données personnelles ?

La question empruntée à un sujet d’examen s’illustre ainsi par son caractère éminemment actuel et soulève des interrogations quant à la nature des données personnelles et leur exploitation.

La donnée à caractère personnel

L’article 4 du règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données ou RGPD) définit comme «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

La donnée personnelle est ainsi intrinsèquement dépendante de l’existence d’une personne physique à laquelle elle se rattache. En 1970 fut inséré à l’article 9 du Code civil le principe selon lequel « Chacun a droit au respect de sa vie privée ». Il faudra attendre 1999 et la discussion de la loi sur la couverture maladie universelle pour que le Conseil constitutionnel rattache le droit à la vie privée à l’article 2 de la Déclaration de 1789 (« la liberté proclamée par cet article 2 implique le respect à la vie privée »), lui donnant une portée constitutionnelle.

Il faut comprendre a contrario que les données relatives aux personnes morales sont exemptes de tout caractère personnel, ces dernières étant dépourvues de vie privée. Une affirmation toutefois tempérée par la décision Conseil d’État du 7 octobre 2022, Association Anticor, n°443826 qui valide le refus de communiquer des documents comptables sur le fondement de la vie privée des personnes morales tiré de l’article L. 311-6 du Code des relations entre le public et l’administration. La portée de cet arrêt ne pénètre pas le champ des données à caractère personnel, toujours exclusives des seules personnes physiques (cf. supra définition article 4 du RGPD).

Selon Fabrice Mattatia « le droit à la vie privée consiste à pouvoir conserver une part d’intimité, ce qui doit certes s’entendre comme le droit à ne pas voir certaines actions surveillées ou divulguées, mais qui recouvre également le droit à ne pas subir des sollicitations ou des discriminations en fonction d’une vie privée que l’on ne souhaite pas divulguer ». Tantôt absolue, tantôt reléguée derrière des intérêts cardinaux tels la liberté d’expression ou encore l’intérêt public, cette conception prétorienne au contours incertains n’offre aucune prise ferme à une définition globale.

La protection des données personnelles est une notion qui émerge avec l’apparition d’Internet, avec pour objectif d’équilibrer l’atteinte aux droits des personnes et l’intérêt légitime des entreprises et administrations qui traitent des informations relatives à ces mêmes personnes. Le RGPD entré en vigueur en mai 2018 vise ainsi à protéger les droits et libertés des individus en ce qui concerne le traitement de leurs données personnelles.

L’exploitation des données à caractère personnel

À l’instar des autres droits de la personnalité, ce sont des droits de la personnalité indisponibles, incessibles, imprescriptibles, extrapatrimoniaux. Cette indisponibilité et extrapatrimonialité sont de nature à prévenir que ces droits puissent faire l’objet d’une convention. Les données personnelles sont des actifs immatériels exploitables, commercialisables, source de revenus pour les entreprises.

Le RGPD consacre en son article 6 §1 les bases de licéité de collecte et traitement de données personnelles parmi lesquelles figure le consentement, la sauvegarde des intérêts vitaux, la nécessité de l’exécution contractuelle, une obligation légale, une mission de service public ou l’intérêt légitime.

Sur ce dernier point, la Cour de justice de l’Union européenne précise que l’intérêt légitime ne peut correspondre à la seule valorisation économique des données personnelles (CJUE 4 juill. 2023, Meta Platforms and Others, aff. C-252/21).

Le consentement peut-il venir au secours de la société Temu ? La participation au programme revient en effet à consentir au partage de « la photo, du nom, de l’image, de la voix, des opinions, des déclarations, des informations biographiques et/ou de la ville d’origine et de l’état à des fins personnelles ou publicitaires dans tous les médias du monde entier, connus ou développés ultérieurement, à perpétuité, sans autre examen, notification, paiement ou contrepartie », indiquent les règles. La marketplace manque toutefois d’afficher les règles d’utilisation pour avertir l’utilisateur de l’étendue des données personnelles qu’il est conduit à partager avec l’application chinoise.

Le profilage commercial est le risque le plus évident, en violation du droit à la vie privée tel qu’il a été précédemment défini ayant pour conséquence la réception massivement de spams, appels ou courriers indésirables. Tom Balbic, directeur marketing de NordVPN, estime qu’un risque plus grave encore naît de cette collecte : « si ces informations tombent dans le darknet, elles peuvent servir à des opérations de phishing, analyse. Plus vous avez d’informations sur quelqu’un et plus l’arnaque est crédible. Enfin, si le gouvernement chinois veut récupérer ces données pour étudier les opinions et les comportements économiques des Français, il en aura le droit. Avec Temu, on est dans le flou total puisque l’on ne sait pas où les données personnelles peuvent aller ! ».

Ces quelques mots illustrent un manquement supplémentaire à la conformité au RGPD en matière de transparence. Le responsable d’un traitement de donnée est tenu d’informer l’utilisateur de l’existence d’un transfert des données vers un pays hors Union européenne, de l’existence d’une prise de décision automatisée ou d’un profilage, du droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes, du droit d’opposition et droit à la portabilité. Or le consentement de l’utilisateur est l’objet de l’offre « Cash reward » : Temu souhaite définitivement acquérir ce dernier pour l’exploitation de l’ensemble des données personnelles de ses utilisateurs. Une contradiction évidente avec les termes de l’article 7.3 du RGPD qui prévoit que la personne concernée peut librement retirer son consentement à tout moment.

L’information communiquée à l’utilisateur sur le sort de ces données est insuffisante puisqu’il n’est pas informé au moment d’adhérer l’offre de la collecte et l’utilisation de celles-ci. De plus le consentement tel qu’il est prévu par le règlement de 2016 est limité, incompatible avec les termes actuels de l’offre. À la question de savoir s’il est possible de payer avec ses données personnelles, la réponse semble pour l’instant négative. Le retrait stratégique par la marketplace de son offre « Cash reward » est un excellent indice de l’idée que l’entreprise chinoise se fait de la conformité de sa politique de traitement des données au regard du RGPD. Elle lui permet dans l’immédiat de prévenir une sanction hypothétique, la CNIL n’ayant à ce jour reçu aucune plainte des utilisateurs.

Sources