Le PFPDT nous recommande d’adapter notre traitement des données clients

Jonathan Keller

17/4/2024

Le Préposé fédéral à la protection des données et à la transparence nous reproche de ne pas respecter les principes de transparence et de proportionnalité inscrites dans la loi sur la protection des données. Nous ne sommes pas de cet avis, tout comme des experts reconnus en matière de protection des données. Nous suivons néanmoins certaines recommandations, bien qu’elles aillent parfois au-delà des normes du marché européen.

La clientèle attend de nous un service de pointe, à juste titre. C’est précisément pour cette raison que nous investissons beaucoup de temps et d’énergie dans l’optimisation de notre boutique et des fonctions de recherche, ainsi que dans le traitement rapide des retours, des cas de réparation et de garantie ou dans la protection des mineurs. Pour que le shopping se déroule dans tous les cas de manière fluide et efficace, nous devons savoir qui commande quoi chez nous.

Le fait que nous traitions certaines données personnelles au-delà de la livraison proprement dite des produits commandés a fait l’objet d’une plainte, adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT). Ce dernier a alors entamé une procédure. Dans le jargon, on parle d’un « examen des faits ». C’était en 2021. Dans un rapport final, le PFPDT nous a transmis fin janvier 2024 quelques critiques et six recommandations, que nous résumons ici brièvement :

Autant dire tout de suite que nous prenons les critiques du PFPDT au sérieux. Nous ne partageons que partiellement son avis, tout comme des spécialistes reconnus du droit de la protection des données. David Vasella, juriste du cabinet Walder Wyss, qui nous a également conseillés dans cette procédure, déclare : « Les recommandations du PFPDT en matière de transparence vont très loin et bien au-delà de ce que la loi exige. » Nous ne pensons pas qu’il soit utile ou nécessaire d’élargir notre déclaration de protection des données, qui est déjà très complète. La conséquence serait une déclaration de protection des données encore plus longue et régulièrement modifiée. Cela ne nous semble pas dans l’intérêt de la clientèle. Qui souhaite se pencher à chaque fois sur la déclaration de protection des données ? Or, la mise en œuvre de cinq des six recommandations du PFPDT aurait exactement cette conséquence. Depuis l’ouverture de la procédure en 2021, nous avons de toute façon procédé à une révision complète de notre déclaration de protection des données. Nous sommes d’avis que la version actuelle répond aux exigences légales et montre à notre clientèle de manière transparente comment Galaxus traite les données personnelles.

Nous allons mettre en œuvre cette recommandation relative à l’« autodétermination informationnelle », bien que cette dernière soit déjà partiellement possible aujourd’hui. Les paramètres des cookies, par exemple, permettent de limiter la collecte personnalisée de données comportementales. Les notifications sont réglables individuellement et la possibilité de supprimer complètement le compte existe également. Nous élaborerons d’autres mesures dans les mois à venir. L’accent est mis sur les traitements de données qui nous permettent de personnaliser les contenus ou les recommandations. À l’avenir, il sera possible de le faire directement dans le compte client.

Pour nous, il est clair que la mise en œuvre de cette « autodétermination informationnelle » doit offrir une plus-value à la clientèle. Et ce, sans compliquer inutilement les achats ou restreindre nos prestations de service. Dans la recommandation susmentionnée, le PFPDT soulève toutefois un point qui, pour nous, ne cadre pas avec ce principe. Il cite l’achat en tant qu’invité comme un « moyen d’aménagement proportionné du traitement des données ». Les arguments suivants montrent pourquoi nous ne pensons pas que l’achat en tant qu’invité soit une bonne idée :

1) Prestations de service
Sans compte client, il nous est très difficile de fournir les prestations de service élémentaires. Le traitement des retours, des cas de garantie ou des dommages dus au transport ne serait possible que si les clients conservaient eux-mêmes les justificatifs d’achat envoyés électroniquement lors de l’achat. Aujourd’hui, les documents en question sont enregistrés dans le compte client et peuvent être consultés en ligne à tout moment.

2) Personnalisation & Communauté
La personnalisation nous permet de proposer à la clientèle des offres adaptées et attrayantes, afin qu’elle puisse trouver plus rapidement dans la boutique les produits qui l’intéressent et faire ses achats plus efficacement. Et c’est tout à fait dans l’intérêt des clientes et clients. En outre, Galaxus est bien plus qu’une simple boutique en ligne. Nous sommes une plateforme d’inspiration, d’information et de communication qui invite à une participation et à une contribution actives de la clientèle. L’esprit de communauté fait partie de notre ADN. Nos utilisateurs et utilisatrices dialoguent activement entre eux, fournissent des évaluations de produits ou répondent de manière détaillée aux questions techniques d’autres clients. En outre, ils discutent passionnément de ce qui leur convient ou non dans nos boutiques. Sans compte client, ce dialogue vivant serait impossible.

3) Concurrence internationale
Nous sommes en concurrence directe avec des géants internationaux de la vente en ligne comme Amazon ou Aliexpress, y compris sur le marché suisse. Aujourd’hui, les personnes qui font des achats chez les concurrents que je viens de citer doivent obligatoirement créer un compte client. La recommandation du PFPDT, émise unilatéralement, entraîne une inégalité de traitement. Et ce, précisément au détriment d’un commerçant en ligne suisse qui apporte un avantage économique à notre pays. En effet, nous employons en Suisse plus de 2000 personnes qui fournissent des prestations de service étendues.

L’expert en protection des données David Vasella n’est guère surpris par les recommandations de l’autorité : « Avec ses recommandations, le PFPDT va souvent au-delà de ce qu’exige le droit de la protection des données, même pour des traitements anodins. Ce faisant, il impose des contraintes à la conception de l’offre et s’immisce ainsi dans la liberté économique au lieu de se limiter à l’application correcte du droit de la protection des données. »

Remarque : une analyse détaillée de la décision de David Vasella est disponible sur le blog juridique datenrecht.ch (en allemand).

Jonathan Keller

Data Protection Officer

Jonathan.Keller@digitecgalaxus.ch

Ces articles pourraient aussi vous intéresser