Blog Cyberjustice - Le RGPD et les programmes de fidélité : les consommateurs mieux informé ?

Les cartes de fidélité foisonnent dans nos portefeuilles. Les français en possèdent 14 en moyenne. Ces cartes nous promettent des réductions à gogo et des avantages alléchants. Leurs offres se sont diversifiées au fil des années allant des réductions classiques sur des produits donnés, aux bons d’achat en passant par les échanges de points entre enseignes ou marques partenaires.

Avec le développement de l’Internet, ces petites cartes rectangulaires si familières seront bientôt « has been ». En effet, certaines enseignes comme Monoprix ont développé des programmes de fidélité sur mesure gérables depuis l’espace dédié aux « membres du club ». D’autres stratégies marketing sont plus agressives notamment avec le développement du « geofencing » ou filet numérique. L’application FidMe, développée par une entreprise Bordelaise utilise ce procédé en proposant, via une application mobile, la création d’un porte-monnaie virtuel des cartes de fidélité d’une personne concernée. L’application géolocalise l’utilisateur et lui envoie un pop-up sur son téléphone portable pour l’informer des réductions proposées par les marques et enseignes situées à proximité.

Bien qu’intrusive, cette pratique n’est pas nécessairement contraire au RGPD. A partir du moment où le consommateur est informé, en des termes clairs, que la géolocalisation du téléphone portable est une condition indissociable du fonctionnement et de l’utilisation de l’application, celui-ci pourra décider d’utiliser ou non l’application en connaissance de cause.

On oublie trop souvent le sort des données personnelles, nouvel or noir des marques et enseignes. Certaines organisations vendent à des tiers les données personnelles de leurs clients à des databrokers. Ce qui se traduit parfois pour le consommateur par du démarchage par téléphone d’entreprises dont il n’est pas client. Toutes les organisations n’ont pas systématiquement recours à la vente de leur fichier prospects. Certaines enseignes se limitent à conserver les informations en interne afin de les valoriser en ayant recours à des méthodes de profilage. Une connaissance précise des habitudes de consommation des clients permet aux enseignes et marques de proposer à chaque client des réductions personnalisées, d’ajuster le publicité ciblée au plus près des besoins du consommateur ainsi que de mettre en œuvre une communication marketing adaptée aux catégories de clients que l’enseigne ou la marque souhaite attirer ou fidéliser.

Le Règlement européen n°679/2016 du 27 avril 2016 dit « RGPD », entré en vigueur le 25 mai dernier, tend à replacer l’individu au cœur de ses données en lui accordant des droits et en imposant des obligations, notamment d’information aux marques et enseignes collectant et traitant des données personnelles.

Le RGPD s’applique-t-il aux programmes de fidélité ?

Les données personnelles sont définies par l’article 4 du RGPD comme étant : « toute information se rapportant à une personne physique […] qui peut être identifiée, directement ou indirectement ».

Les formulaires d’adhésion à un programme de fidélité recueillent, en général, le nom, prénom, adresse postale, adresse e-mail, numéro de téléphone, moyens de paiement, composition familiale, etc. Ces informations permettent effectivement l’identification directe d’un individu.

De plus, lorsque la carte de fidélité est activée et utilisée par son détenteurs, d’autres informations peuvent être collectées : le type de produits achetés, la fréquence à laquelle ces produits sont achetés, le prix moyen d’un panier, la fréquence des visites dans le magasin etc. Il n’est pas irraisonnable de dire que ces informations sont collectées sans que la majorité des détenteurs de cartes de fidélité n’en soient avisés.

Qu’est-ce qui a changé depuis l’entrée en vigueur du RGPD ?

Antérieurement à l’entrée en vigueur du RGPD, les enseignes devaient effectuer, auprès de la CNIL et préalablement à toute collecte de données, la déclaration simplifiée n°48 relatives à la « gestion d’un programme de fidélité ». Cette déclaration énumérait exhaustivement les données à caractère personnel pouvant être collectées. Parmi celles-ci on retrouve des données relatives à l’identité de la personne, des données relatives aux moyens de paiement utilisés, des données relatives à la situation familiale, économique et financière de la personne concernée et enfin, les données relatives au règlement des factures. La déclaration simplifiée n°48 laisse donc une marge de manœuvre assez importante aux marques enseignes concernant les données collectées. L’autorité de contrôle devait alors vérifier la proportionnalité et la nécessité de la collecte et du traitement conformément au principe de minimisation des données (article 5 § 2 du RGPD).

Depuis l’entrée en vigueur du RGPD le 25 mai dernier, les enseignes n’ont plus à effectuer de demande d’autorisation préalable. Ainsi, les autorisations ont été remplacées par le principe d’accountability (article 5 § 1 point c du RGPD) tendant à responsabiliser les organisations en les obligeant à documenter leur mise en conformité, notamment en conservant la preuve du consentement du consommateur.

Les marques et enseignes doivent notamment respecter une obligation d’information préalable du consommateur. Les enseignes et les marques devront prévoir une mention d’information rédigée en termes simples et clairs sur chaque formulaire de collecte papier ou électronique informant le client de l’identité du responsable de traitement, de la finalité du traitement, les catégories de données collectées, des transferts de données éventuel, les droits qui lui sont conférés (article 13 du RGPD), etc.

Et concrètement, comment cela se traduit-il :

Pour la collecte des données ?

En premier lieux, le consommateur devra être informé que l’inscription à un programme de fidélité vaut acceptation de la collecte et du traitement, par l’enseigne ou la marque, de ses données personnelles. Depuis l’entrée en vigueur du RGPD, un simple « oui » ou les cases pré-cochées ne sont pas considérées comme constitutifs d’un consentement non-équivoque. Les formulaires d’inscription papiers ou en ligne devront mettre en œuvre « l’opt in » afin que le consommateur puisse déterminer quelles informations il souhaite donner et/ou recevoir de la part de l’organisation. Par exemple, pourrait être prévu une case à cocher par le consommateur lui permettant de gérer les communications (newsletters, soldes) qu’il souhaite recevoir en cochant une case par exemple.

De plus, en vertu de ce principe de minimisation des données, les enseignes et marques doivent différencier, en général à l’aide d’un astérisque, les informations devant être obligatoirement renseignées pour bénéficier du service des informations optionnelles afin de ne collecter que les informations strictement nécessaires à la finalité du traitement.

Les organisations pourront toutefois utiliser forcer le consentement du consommateur en indiquant que la collecte de données est nécessaire et indissociable au service fourni. Par conséquent, si le consommateur désire ou ne peut se passer d’un avantage fidélité, il sera contraint d’accepter la collecte de ses données personnelles.

Pour la finalité du traitement ?

En second lieux, ces organisations doivent déterminer et communiquer au consommateur la ou les finalités du traitement. Les finalités doivent être rédigées en termes clairs et non équivoques, permettant aux clients d’identifier le devenir de leurs données. Lorsque les finalités du traitement sont amenées à évoluer, les clients devront en être informés. Lorsque la collecte et a fortiori le traitement des données est basé sur le consentement, celui-ci devra être renouvelé par un acte positif de la personne concernée sans quoi le traitement sera considéré illicite.

Si l’organisation utilise les données collectées à des fins d’analyse comportementale ou marketing, le consommateur devra alors spécifiquement consentir à l’utilisation de ses données pour cette finalité. Le consentement devra être recueilli séparément du formulaire papier ou en ligne. Les organisations pourraient, afin de finaliser l’inscription au programme de fidélité envoyer un mail au consommateur.

Pour l’exercice des droits des personnes concernées ?

En troisième lieu, les enseignes et marquent doivent communiquer au consommateur les droits qui lui sont conférés en vertu du RGPD (articles 15 à 21) : d’accès, de rectification, d’opposition, d’effacement, de limitation et de portabilité. Afin d’exercer ces droits, les organisations devront également fournir une adresse de contact électronique et postale facilement accessible par le consommateur. Typiquement, sur le formulaire d’inscription papier ou en ligne. Il devra également être fait mention de la possibilité pour le consommateur de déposer une plainte auprès de la CNIL lorsque l’organisation ne répond pas à la demande d’exercice des droits dans un délai d’un mois suivant sa réception.

Si les pratiques commerciales des marques et enseignes sont remises en question par le RGPD, le respect de ces principes constitue un argument marketing important puisque la conformité de ces organisations au RGPD est créatrice de confiance et fidélisera certains consommateurs.

Sarah Catalan
Master 2 Cyberjustice – Promotion 2018-2019

Sources :
Entreprise & Droit. La carte de fidélité. http://www.entreprise-et-droit.com/la-carte-de-fidelite/
https://www.google.com/search?q=cartes+de+fid%C3%A9lit%C3%A9&client=firefox-b&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjpvPPc5KffAhUkrXEKHcVkAQoQ_AUIDigB&biw=1536&bih=701#imgrc=2VvXfDCjcj5NuM:
Bugier, J. (2018). Les nouveaux dangers des cartes de fidélité. Emission tout compte fait. France 2 https://www.youtube.com/watch?v=ScB8Ces6FWE
https://www.e-marketing.fr/Marketing-Direct/Article/La-reglementation-des-programmes-de-fidelisation-3244-1.htm