Pourquoi un compte obligatoire n’est-il pas conforme au RGPD ?
Le cœur du raisonnement juridique de la DPA finlandaise réside dans l’un des principes fondamentaux du RGPD, en particulier le principe de minimisation des données. Ce principe exige que les données personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées. Dans le cas de Verkkokauppa.com, la DPA a jugé qu’exiger la création d’un compte, même pour ceux qui le souhaitaient uniquement. l’achat a entraîné la collecte et la conservation de plus de données que ce qui était nécessaire pour traiter un achat unique. Il s’agit d’une violation flagrante du principe de minimisation des données.
La minimisation des données signifie que vous ne pouvez jamais collecter et stocker plus de données personnelles que ce qui est strictement nécessaire pour atteindre un objectif spécifique. Dans le cadre d’un achat ponctuel en ligne, cela signifie que vous avez besoin de la commande elle-même, du nom du client, de son adresse de livraison et de son adresse e-mail. Selon nous, un numéro de téléphone peut également être justifié, mais à proprement parler, il n’en faut pas plus pour une commande ponctuelle. Quiconque oblige le client à partager davantage de données viole le RGPD. Lors de la création d’un compte, il y a toujours plus d’informations impliquées, même s’il ne s’agit que du mot de passe lié au compte, des données analytiques extraites d’un compte, etc.
La DPA finlandaise s’est limitée à explorer le principe de minimisation des données, mais elle aurait pu aller plus loin. D’autres principes du RGPD nous semblent également manifestement inconciliables avec les comptes obligatoires sur les boutiques en ligne.
Il y a tout d’abord le principe de limitation des durées de conservation : vous ne pouvez pas conserver les données personnelles plus longtemps que ce qui est nécessaire dans un contexte précis. Cela signifie qu’en tant que boutique en ligne, vous ne pouvez stocker les données de commande que dans le but de traiter un achat et éventuellement jusqu’à la fin du délai de réflexion légal. Ensuite, mes données doivent être supprimées. Bien entendu, cela ne s’applique qu’à mes coordonnées et à mes coordonnées de commande. Vous pouvez bien entendu conserver les factures ou les reçus d’achat que vous êtes légalement tenu de conserver pour des raisons comptables.
Un autre point délicat concerne la base juridique. Le RGPD dispose de six « fondements juridiques » qui vous permettent de traiter des données personnelles. Toute personne ne disposant pas d’une base juridique appropriée ne peut pas traiter de données personnelles. La base juridique évidente pour que vous traitiez mes données si je passe une commande en ligne sur votre boutique en ligne est « l’exécution d’un accord » : si le traitement de mes données est absolument nécessaire pour pouvoir exécuter un accord (mon achat), vous peut traiter mes données, mais uniquement strictement dans les limites de cet accord. Si vous souhaitez également pouvoir stocker mes données « pour des visites ultérieures sur notre boutique en ligne », vous aurez besoin d’une base juridique distincte, qui dans ce cas sera nécessairement mon consentement explicite pour créer un compte. Cependant, le problème avec la base juridique du « consentement » au sens du RGPD est – et il existe de nombreuses jurisprudences à ce sujet – que le consentement doit être donné « librement » et qu’en tant que client, je ne peux donc en aucun cas être obligé de donner mon consentement. . Ce dernier n’est clairement pas compatible avec le compte obligatoire sur une boutique en ligne…
Il existe d’ailleurs d’autres raisons imaginables pour lesquelles les comptes obligatoires et le RGPD ne sont pas compatibles. Par exemple, le RGPD vous oblige à prendre toutes les mesures appropriées pour garantir la sécurité de mes données. Selon nous, le stockage inutile et non sollicité de mes données dans un compte en ligne – par définition dangereux et sensible au piratage – est très difficile à concilier avec ce devoir de sécurité et de prudence…
