L’application Freedelity est sanctionnée pour la manière dont elle traite les données des consommateurs belges. L’entreprise propose des cartes de fidélité liées à votre carte d’identité.
L’autorité belge de protection des données (GBA) tape publiquement sur les doigts de Freedelity dans un communiqué de presse. L’entreprise à l’origine de l’application MyFreedelity serait “intrusive et non transparente” dans sa collecte de données auprès des consommateurs belges, violant ainsi la législation GDPR. Freedelity est sommée de se mettre en conformité dans un délai de quatre mois, sous peine d’amendes.
Carte d’identité comme carte de client
Le modèle économique de Freedelity repose sur l’offre de cartes de fidélité basées sur les cartes d’identité. Toute personne qui crée un compte accepte en principe de partager sa carte d’identité avec Freedelity et les entreprises qui ont souscrit aux services de la société. Dans les magasins participants, votre carte sera lue. De grandes enseignes comme MediaMarkt utilisent myFreedelity.
Le GBA estime que le consentement que Freedelity et ses partenaires obtiennent des consommateurs ne répond pas aux exigences du GDPR. Par exemple, le consentement est parfois implicitement présumé lorsqu’un consommateur scanne sa carte d’identité, ce qui ne répond pas aux exigences d’univocité et de spécificité. Les mécanismes de retrait du consentement ne sont pas non plus suffisamment conviviaux. En outre, Freedelity collecte des données redondantes telles que le numéro de registre national et les conserve pendant huit ans, ce qui est excessivement long, selon le GBA.
Freedelity est invitée à adapter ses pratiques. Par exemple, l’entreprise devrait mettre en place des mécanismes de consentement clairs et spécifiques, comprenant des options simples pour retirer le consentement. Elle devrait également cesser de collecter des données non essentielles et supprimer les données inutiles. Enfin, les périodes de conservation des données devraient être limitées à trois ans après la dernière activité du consommateur.
Paiements de pénalités
Freedelity dispose d’un délai de 30 jours à compter de la décision pour faire appel et de quatre mois pour apporter les modifications demandées. Si l’entreprise reste en défaut, elle s’expose à des astreintes pouvant aller jusqu’à 5 000 euros par jour.
L’entreprise fera appel de ce qu’elle qualifie de “chasse aux sorcières”. “Nous traitons les données de plus de sept millions de Belges depuis 15 ans et il n’y a jamais eu de plainte recevable”, a déclaré le PDG Sebastian Buyse à Gazet van Antwerpen. Le PDG a également dénoncé le moment choisi pour rendre cette décision, juste avant le “Black Friday”, la grande messe du commerce en ligne.
Les amendes GDPR sont plutôt rares en Belgique. Depuis l’entrée en vigueur de la loi sur la protection de la vie privée, le GBA a infligé une quarantaine d’amendes. La charge de travail élevée de l’organisme de protection de la vie privée signifie que toutes les plaintes ne peuvent pas être traitées à temps. Freedelity n’a pas échappé à la danse.