Source: Ius Mentis
Selon le blog juridique néerlandais Ius Mentis, rédigé par Arnoud Engelfriet, le Comité européen de la protection des données (CEPD) a publié une position indiquant que le fait d'obliger les clients à créer un compte avant de pouvoir passer une commande n'est pas autorisé au titre du RGPD. Le billet de blog, publié sur Ius Mentis, fait référence à un article du journal néerlandais De Telegraaf traitant du même sujet.
Il convient de préciser qu'Ius Mentis est une source de commentaires secondaire. La position du CEPD est citée et partiellement reproduite dans le billet, mais le document primaire du CEPD n'est pas la source de cet article. Aucune amende n'a été prononcée et aucune entreprise spécifique n'a été sanctionnée.
Selon Ius Mentis, le problème central réside dans le fait que la conservation de l'adresse d'un client et d'autres données personnelles dans un compte va au-delà de ce qui est strictement nécessaire pour exécuter une seule commande. Une adresse de livraison est nécessaire pour expédier un colis, mais conserver cette adresse dans un compte permanent est une question distincte.
Les boutiques en ligne avancent parfois que les comptes facilitent la détection des fraudes ou améliorent l'expérience d'achat. Cependant, selon le commentaire d'Ius Mentis sur la position du CEPD, ces justifications sont difficiles à maintenir. Sur la question de la détection des fraudes en particulier, le CEPD noterait que de nombreuses boutiques en ligne fonctionnent sans exiger de compte, et qu'un historique d'achats n'est de toute façon pas disponible lors de la première utilisation d'un compte.
Selon Ius Mentis, les boutiques en ligne souhaitant proposer des comptes devraient s'appuyer sur les intérêts légitimes au titre de l'article 6(1)(f) du RGPD. Toutefois, le blog note que des intérêts commerciaux tels que le suivi ou les offres personnalisées sont difficiles à justifier au regard des droits à la vie privée des clients. En pratique, cela revient souvent à poser simplement la question : « Souhaitez-vous créer un compte ? » Autrement dit, la création de compte doit être facultative et non une condition d'achat.
Il existe certaines situations où un compte obligatoire peut être acceptable, notamment, selon les sources, pour les services par abonnement nécessitant un accès continu, ou pour les programmes de fidélité où le compte lui-même sert de preuve d'adhésion.
Si votre boutique en ligne oblige actuellement les clients à créer un compte avant de finaliser un achat, il vaut la peine de revoir cette pratique. Selon la position du CEPD telle que rapportée par Ius Mentis, proposer une option de commande en tant qu'invité est l'approche la plus sûre au titre du RGPD. Rendre la création de compte facultative plutôt qu'obligatoire est une modification simple qui réduit votre risque de non-conformité sans affecter la capacité de vos clients à effectuer des achats auprès de vous. Pour les acteurs établis en France, la CNIL est l'autorité compétente pour apprécier la conformité de telles pratiques au RGPD et à la loi Informatique et Libertés.
Free website scan covering GDPR, copyright, accessibility, security, and more.
Scan your site free