Réponse publiée le 28 décembre 2021

Comme le souligne le parlementaire, le règlement général sur la protection des données (RGPD) encadre la mise en œuvre des traitements de données à caractère personnel qui entrent dans son champ d'application. A cet égard, les observations suivantes, qui résultent d'une consultation de la Commission nationale de l'informatique et des libertés (CNIL), peuvent être faites.  S'agissant de la collecte systématique des données des clients lors de leur passage en caisse. Il apparaît, selon l'auteur de la question, que le personnel de la chaine de magasins collecte systématiquement les noms et adresses des clients afin de leur permettre, en cas de perte du ticket de caisse, de pouvoir recourir, le cas échéant, à la garantie du bien acheté. Les clients ne seraient pas informés de ce traitement au moment où les données sont obtenues et ne seraient pas en mesure de s'opposer à la collecte.  Sauf obligation légale (comme par exemple pour la collecte des données nécessaires aux déclarations à réaliser en matière de contribution à l'audiovisuel public), un magasin ne peut imposer la collecte systématique de données à caractère personnel que si ces données sont nécessaires à l'exécution d'un contrat auquel la personne concernée est partie, ce qui, au regard des informations transmises, ne semble pas être le cas en l'espèce. Dès lors, les clients doivent pouvoir refuser ou s'opposer à cette collecte systématique. En tout état de cause, les personnes concernées doivent être informées selon les exigences prévues aux articles 12 et 13 du RGPD, qui imposent au responsable de traitement de fournir, au moment de la collecte des données, les informations relatives notamment aux objectifs poursuivis, à la base juridique du traitement mis en œuvre ainsi qu'aux droits que possèdent les personnes. L'absence d'information des personnes est susceptible de constituer un manquement aux obligations de transparence qui incombent au responsable de traitement. S'agissant de la revente des données à des tiers. La chaîne de magasins serait également susceptible de revendre les données ainsi collectées sans que le consentement des clients ne soit recueilli ou que ces derniers n'aient eu, a minima, l'occasion de s'opposer préalablement à une telle revente.  Sur ce point, la revente des données n'est possible que sous réserve, d'une part, que les finalités pour lesquelles les données sont transmises soient déterminées, explicites et légitimes et qu'elles ne soient pas incompatibles avec les objectifs pour lesquelles elles ont été initialement collectées (article 5.1.b du RGPD) et, d'autre part, que celles-ci aient été portées à la connaissance des clients (article 12 et 13 du RGPD). Concernant la base juridique d'une telle transmission de données (article 6 du RGPD), le responsable de traitement devra recueillir le consentement des personnes concernées sauf s'il parvient à démontrer que l'intérêt légitime peut constituer une base légale valide. En tout état de cause, les clients devront être en mesure de refuser ou de s'opposer, de manière discrétionnaire, à la revente de leurs données à caractère personnel après en avoir été informé. Enfin, l'attention est attirée sur le fait que le secteur marketing/commerce génère de nombreuses plaintes chaque année. Dans ce contexte, il est rappelé que la CNIL est compétente pour contrôler et, le cas échéant, sanctionner tout manquement au cadre légal applicable au traitement de données à caractère personnel et qu'elle reste particulièrement vigilante au respect des principes rappelés dans la question.