Migros et vos données personnelles

Avec l’entrée en vigueur du RGPD Européen, les entreprises modifient leurs comportements. Mais dans quel sens ?

On peut observer 2 catégories d’entreprises dans la manière de se “conformer” au RGPD.

  1. les entreprises ayant pris réellement conscience des contraintes liées à tout traitement de données personnelles, et ayant, tel que souhaité par le législateur, réduit au stricte minimum ces traitements, soit uniquement ce qui est vital à l’exercice d’une prestation proposée. Ces mêmes entreprises ont généralement supprimé également toute trace de mouchards intrusifs de leurs sites et applications internet, mouchards destinés à récolter et transmettre à des tiers des données personnelles à l’insu de leurs clients. On ne peut que féliciter une telle démarche et l’encourager pour l’ensemble des acteurs économiques, qu’ils soient publiques ou privés.
  2. les entreprises ayant une volonté débordante d’enrichir au maximum leurs bases de données avec le comportement de leurs clients, même s’ils ne savent pas vraiment à quoi tout cela va servir, et qui produisent donc des conditions d’utilisation, présentées comme respectueuses de vos données et du RGPD, mais tellement compliquées et imprécises qu’il est impossible à un client de s’y retrouver et de prendre la bonne décision. Ces entreprises sont de réels dangers pour notre intimité et nos libertés, et on se réjouis qu’elles soient remises à l’ordre par la force de la loi si elles ne sont pas capables de se remettre en cause toutes seules.

Pour l’exemple, on prend le plus grand détaillant de Suisse, le groupe Migros.

Migros n’est malheureusement pas un cas unique, la plupart de ses concurrents et grands groupes sont dans le même schéma. Mais s’agissant d’une “image” sociale bien implantée dans notre culture, et du plus grand groupe commercial, l’exemple est d’autant plus marquant.

Rappelons les 3 principes de base du nouveau règlement RGPD

1 Aucune donnée personnelle ne peut être traitée licitement sans le consentement de la personne concernée (art. 6, 7 RGPD).

Cela signifie en clair que l’entreprise doit être en mesure de prouver que l’usager des services proposés à parfaitement compris quelles données (en détail) sont traitées, leur finalité (qu’est-ce qui va en être fait), et leur destination (à qui sont elles transmises), et qu’il a donné sont consentement de manière explicite.

2 Tout traitement doit être proportionnel à la prestation fournie (art 5 RGPD)

Les données personnelles traitées doivent correspondre à un besoin réel de la prestation fournie. Par exemple une adresse est nécessaire pour envoyer un paquet. Tout traitement n’ayant aucun rapport aux besoins de la prestation fournie est considéré par défaut comme illicite, peut importe que cette prestation soit payante ou non.

3 Principe de la sécurité par défaut (privacy by design – art 25 RGPD)

Tout traitement de données personnelles ne peut être envisagé qu’à partir du moment où un concept de sécurité en phase avec la loi a été mis en place. Cela concerne tout particulièrement le transfert à des tiers, dont l’entreprise se rend co-responsable des conditions de ces derniers (cf décision de la cours Européenne de justice du 5 juin 2018).

Migros et RGPD

La première chose que l’on peut constater dans le cas du groupe Migros, est qu’il est impossible d’échapper au traitement des données personnelles, y compris le profilage, qui pourtant exige un consentement particulier, et ce , quelle que soit la prestation fournie (achats, connexion sur leur site internet, utilisation de leurs applications, utilisation du programme Cumulus, et même le passage dans leurs locaux avec un smartphone au WiFi ouvert).

Les CG sont (volontairement ?) vaguent et laissent supposer que vos données sont bien protégées et utilisées à bon escient. Vraiment ?

En dehors de la communauté Migros, les données personnelles ne sont transmises en principe qu’à des prestataires de services qui traitent ces données pour notre compte et d’après nos instructions…

En principe” suppose qu’il y a une généralité, mais aussi des exceptions. Qui sont ces “prestataires de services” ? Qu’en est-il de ces exceptions ? Et qu’est-ce que ces “instructions” ?… aucune information sur ce sujet !

Nous ne vendons en aucun cas vos données personnelles à des tiers et n’utilisons pas les données personnelles à des fins commerciales.”

Par l’usage d’algorithmes de tiers, tels que Facebook Connect, ou autre Google trackers, cette entreprise ne vend effectivement pas vos données à des tiers, elle les donnes ! La fin de la phrase est intéressante, précisant qu’elle n’utilise pas ces données à des fins commerciales, alors que plus loins dans ses CG, on peut lire :

nous analysons le comportement d’achat dans nos magasins et boutiques en ligne, l’utilisation de nos sites web et applications, et d’autres données de transactions et comportementalesadapter notre offre…vous présenter de la publicité

Ce profilage est important puisque :

“…nous pouvons également mettre en relation des données personnelles provenant de différentes sources, telles que des données collectées hors ligne et en ligne…”

Cette entreprise à une notion très particulière du sens du mot “commercial” pour oser affirmer qu’il n’y a pas de fins commerciales dans son processus de traitement des données personnelles…

Et vos enfants ?

L’art 13 des CG du groupe laisse supposer que les données personnelles des enfants ne sont pas traitées.

Nous ne traitons en général pas les données personnelles des enfants.

Le “en général” est à nouveau une manière vague de laisser la porte ouverte à un traitement, alors que cette catégorie entre dans un registre particulier de la loi. Le groupe indique bien sûre que si elle “doit” traiter des données personnelles d’enfants, elle demandera un consentement aux parents, mais si ce consentement est organisé de la même manière que le reste, on peut réellement douter de cette volonté, affichée en marge des CG, de prendre au sérieux la protection de nos données personnelles.

Migros, Google, Facebook… même combat…

Au final, si on compare avec les CG des GAFAM, on voix un groupe Migros dans la même lignée de ces géants internet, pourtant sous le coup de nombreuses condamnations, mises en demeure, plaintes, précisément à cause de leurs CG ne respectant pas les usagers de leurs prestations.

On ne parle même pas du droit légal de l’usager de s’opposer à tout traitement et tout profilage, le texte le mentionne bien, mais les conditions liées à leurs prestations indiquent que pour obtenir précisément une prestation de leur part, il est nécessaire d’accepter en bloc lesdites conditions. Une tromperie formidable, et une belle infraction aux art 5, 6, et 7 du RGPD.

C’est un constat plutôt triste de voir qu’en allant acheter notre pain, on livre sans vraiment pouvoir s’y opposer, notre intimité à ce groupe qui va s’en servir de toutes les manières possibles. Est-ce bien là l’image d’une entreprises qui se présente comme “sociale” et préoccupée par les intérêts de leurs clients ?

Vivement que ces entreprises, qui s’imaginent que par leurs CG elle peuvent collecter et utiliser en toute impunité notre vie intime (et, au passage, celle de notre entourage), soient remise en place par des actions similaires effectuées ces derniers mois contre les GAFAM. Ou alors que leurs directions prennent pleine conscience de l’énormité de leur comportement face à leurs clients.

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*