La chaîne de supermarchés grecque Alfa Vita (AB) gère un programme de cartes de fidélité qui permet de collecter les données personnelles des clients. Pourtant, l'entreprise n'est même pas en mesure de respecter les droits de base du GDPR. Lorsque la plaignante a demandé l'accès à ses données, AB a omis la plupart des données personnelles qu'elle traitait. noyb a déposé une plainte auprès de l'autorité grecque de protection des données.
Le droit d'accès est largement ignoré. Pour fidéliser un maximum de clients, la chaîne de supermarchés grecque Alfa Vita (AB) a mis en place un programme de cartes de fidélité appelé "AB plus". Bien qu'AB soit désireuse de collecter autant d'informations personnelles que possible sur ses 2,2 millions de clients, elle ne respecte pas la législation de l'UE. Cela est apparu clairement lorsqu'une consommatrice a tenté d'exercer son droit d'accès. Elle est inscrite à la base de données AB Plus Personal du programme de fidélité d'AB. Cela signifie qu'AB traite "ses habitudes d'achat, la fréquence de ses visites dans un magasin AB, l'utilisation des offres qui lui sont communiquées, son adresse personnelle, le coût total de ses achats" à des fins de profilage. Pourtant, AB ne lui a fourni qu'une liste de ses transactions et ses coordonnées, mais aucune autre information qu'elle en a tirée. Malgré un arrêt clair de la Cour de justice, l'AB a aussi explicitement refusé de fournir une liste des destinataires de ces données. (voir l'affaire C-154/21).
Kleanthi Sardeli, avocate spécialisée dans la protection des données à l'agence noyb: "Le GDPR stipule clairement que la réponse d'une entreprise à une demande d'accès doit inclure toutes les informations qu'elle détient sur un client. La Cour de justice a précisé que cela inclut également tous les destinataires qui ont reçu vos données personnelles. Le fait qu'AB dissimule délibérément de grandes quantités de ces données est clairement illégal"
Plus de droits GDPR uniquement pour les clients "AB Plus Unique" ? Les clients AB Plus Personal dont le plaignant, ne peuvent même pas accéder au montant qu'ils ont économisé en utilisant leur carte de fidélité. Sur son site web, AB présente l'accès à ces données comme une fonctionnalité exclusive pour les clients "AB Plus Unique" "AB Plus Unique". Cependant, une "mise à niveau" vers AB Plus Unique nécessiterait le consentement au partage des données avec d'autres tiers. Ce n'est pas seulement absurde, c'est aussi clairement illégal. Les entreprises doivent "faciliter" l'accès aux données personnelles, et non les prendre en otage. Dans l'ensemble, cette affaire montre que même les opérations qui s'appuient fortement sur les données personnelles, comme un programme de fidélisation, ne respectent toujours pas les principes fondamentaux du GDPR, huit ans après son adoption en 2016.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez noyb: "AB exige essentiellement que vous acceptiez de "mettre à niveau" et que vous autorisiez le partage de données afin d'exercer vos droits fondamentaux en vertu de la législation de l'UE. C'est complètement absurde, mais cela montre à quel point les entreprises se soucient peu du GDPR."
"Donnez-nous vos données si vous voulez économiser de l'argent". L'alimentation est l'une des dépenses les plus importantes d'un ménage. De plus en plus de réductions sont strictement liées à la possession d'une carte de fidélité qui permet aux entreprises de suivre, de profiler et de manipuler les consommateurs, rendant de facto la participation obligatoire. En période d'augmentation rapide des prix des denrées alimentaires, de récession économique et surtout pour les clients des États membres à faibles revenus, il se peut qu'il n'y ait pas d'autre choix que d'"accepter" de partager des données personnelles afin d'avoir accès à des denrées alimentaires plus abordables. Bien entendu, ces "remises" sont intégrées dans les modèles de tarification des supermarchés. Cela signifie qu'en réalité, les clients n'obtiennent des réductions que sur des prix précédemment gonflés.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez noyb : "En période de hausse des prix, de plus en plus de personnes doivent compter sur les cartes de fidélité pour économiser de l'argent lorsqu'elles font leurs courses. Cela place les supermarchés comme AB dans une position privilégiée pour ignorer de manière flagrante le droit fondamental des personnes à la vie privée".
Plainte relative au GDPR déposée en Grèce. noyb a déposé une plainte auprès de l'autorité grecque (DPA), demandant une enquête sur les opérations de traitement de l'AB et une injonction de se conformer à la demande d'accès du plaignant. En outre, le noyb suggère à la DPA d'imposer une amende pouvant aller jusqu'à 4 % du chiffre d'affaires annuel d'AB afin d'éviter que des violations similaires ne se reproduisent à l'avenir.