Protection des données personnelles des e-consommateurs : protocole de coopération CNIL et DGCCRF

La DGCCRF transmet, la Cnil contrôle et sanctionne

A la question posée sur les mesures que le Gouvernement entendait adopter pour renforcer la protection des e-consommateurs (Question AN n° 99314), le ministère du Commerce, artisanat, PME, tourisme, services et consommation a évoqué le protocole CNIL/DGCCRF (Réponse au JO du 24/05/2011) :

Le développement du commerce électronique s'accompagne en effet d'une inquiétude croissante des consommateurs en ligne quant à la protection des données personnelles qu'ils communiquent au moment de leurs achats.

CNIL et DGCCRF ont signé, le 6 janvier 2011, un protocole de coopération en vue de renforcer les actions de contrôle en la matière. 

Les agents de la DGCCRF, et particulièrement les cyber-enquêteurs du Centre de surveillance du commerce électronique ont l'habitude de veiller à la protection des consommateurs sur Internet ; en 2010, ils ont ainsi effectué près de 10 000 contrôles sur 9 000 sites de commerce électronique. Leur action est orientée autour de trois priorités :

- l'identification claire des propriétaires des sites, 

- la vérification de la loyauté des informations 

- et le contrôle de la présence de produits dangereux sur les sites.

Désormais, la protection des données personnelles sera également au coeur de leur action puisque, au titre de ce nouveau protocole de coopération, ils transmettront aux agents de la CNIL, habilités à contrôler la loi « informatique et libertés », tout agissement abusif relatif à la protection des données personnelles, et notamment :

- la collecte illicite et déloyale de données (par exemple données recueillies auprès de très jeunes mineurs sans le consentement des parents) ; 

- le défaut de proportionnalité dans les données collectées (par exemple demande d'informations sur l'environnement familial sans lien avec le produit ou service acheté) ; 

- la collecte de données sensibles (par exemple, collecte de l'orientation sexuelle ou politique de l'acheteur sans son consentement) ; 

- l'absence d'information des personnes sur l'exploitation des données personnelles (formulaire de collecte de données ne comprenant pas les mentions obligatoires).

Sur la base de ces informations transmises par les agents de la DGCCRF, la CNIL pourra alors utiliser ses pouvoirs de contrôle et de sanction. Le protocole de coopération entre les deux autorités prévoit, à l'inverse, que, lorsque la CNIL sera saisie de faits relevant de la compétence des agents de la DGCCRF, ceux-ci leur seront transmis pour attribution. Un bilan annuel de cette coopération sera établi.