Digitec Galaxus rappelée à l’ordre par Berne
L’autorité de surveillance a examiné les pratiques du champion suisse de l’e-commerce. Il devra proposer aux utilisateurs la possibilité d’effectuer des achats sans créer de compte
XC’est un bras de fer qui ne laissera pas le secteur suisse de l’e-commerce indifférent. Le préposé fédéral à la protection des données et à la transparence (PFPDT) a publié ce mercredi une décision concernant les pratiques de Digitec Galaxus. Il reproche au géant suisse de l’e-commerce de violer le principe de proportionnalité inscrit dans la loi en obligeant ses clients à créer un compte pour faire des achats sur son site web.
Selon l’autorité de surveillance, l’entreprise détenue par Migros devrait offrir une alternative à ses clients. Elle précise que la possibilité de réaliser des commandes en tant qu’invité, sans créer de compte, constituerait une solution acceptable. Mais Digitec Galaxus ne l’entend pas de cette oreille. Dans un communiqué diffusé quelques heures après, le spécialiste du commerce en ligne précise prendre au sérieux les recommandations émises par le PFPDT, mais que celles-ci vont trop loin.
Problème récurrent
Digitec Galaxus estime que l’obligation de créer un compte est indispensable pour faciliter l’envoi des commandes ou encore effectuer les retours. Par ailleurs, note l’entreprise, cela lui permet de proposer des recommandations ciblées selon les préférences des utilisateurs. Le géant de l’e-commerce accuse en outre le préposé fédéral de ne pas tenir compte de la concurrence internationale. Il cite son principal rival, Amazon, qui oblige aussi sa clientèle à créer un compte.
De son côté, l’avocat et professeur à l’Université de Lausanne Sylvain Métille se réjouit de la prise de position du préposé fédéral: «L’obligation de créer un compte est un problème récurrent pour les achats en ligne, mais nullement justifié, analyse-t-il. Même si le droit de ne pas fournir des données personnelles pour effectuer un achat était déjà bien établi, ce rappel du PFPDT est bienvenu.» Selon lui, l’acheteur ne doit pas être pris en otage et contraint à communiquer des données qui ne sont pas nécessaires à l’objectif poursuivi.
Autre point d’achoppement: l’autorité de surveillance estime que Digitec Galaxus doit être plus exhaustif dans sa déclaration de protection des données. Une exigence que l’entreprise n’entend pas appliquer, tant elle s’avère selon elle irréaliste en pratique. Sur ce point, les experts se montrent aussi partagés.
Une position qui divise
Le juriste spécialisé en protection des données François Charlet se dit partagé. «Il faut se mettre à la place des entreprises, explique-t-il. C’est difficile d’anticiper et de suivre les évolutions technologiques et des traitements de données. La pratique de Digitec Galaxus permet de ne pas être exhaustif et de limiter sa responsabilité juridique.» Il précise que ce n’est pas toujours évident pour les personnes responsables de savoir exactement comment sont mis en oeuvre tous les traitements d’une entreprise au jour le jour. S’il admet que le PFPDT a raison sur le principe, l’application de sa recommandation s’avère plus compliquée à mettre en pratique qu’il n’y paraît.
Le géant de l’e-commerce soumettra prochainement des propositions aux autorités pour se mettre en conformité. Si celles-ci ne satisfont pas le préposé fédéral, celui-ci indique au Temps qu’il se réserve la possibilité de demander au Tribunal administratif fédéral de trancher, ou d’ouvrir une procédure pour violation de la protection des données. ■