retour

Renforcement de la coopération entre la CNIL et la DGCCRF : Un nouveau protocole pour une meilleure protection des consommateurs et de leurs données personnelles

Article IT et données personnelles | 25/11/24 | 7 min. | Alexandra Berg-Moussa Florence Chafiol Aurélien Micheli Alexandra Antalis

Le 18 novembre 2024, la Commission nationale de l'informatique et des libertés (CNIL) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ont signé un nouveau protocole de coopération.

 

Contexte et enjeux de la coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent la plupart du temps de l’exploitation commerciale de leurs données à caractère personnel. Ainsi, une coopération entre d’une part la CNIL, en charge de la protection des données à caractère personnel des citoyens, et d’autre part la DGCCRF, en charge de la protection des consommateurs, est importante pour protéger les droits et libertés fondamentaux des consommateurs.

La coopération entre ces deux autorités n’est pas nouvelle, et ce protocole qui date de 2011 avait déjà été revu une première fois en 2019 pour adapter les contours de leur coopération au développement de la dimension numérique des échanges et à l’augmentation de la circulation des données.

Résultats de la coopération

Le partenariat établi depuis plusieurs années entre les deux autorités, leur a déjà permis d’échanger plusieurs dizaines de signalements (par exemple en matière de prospection commerciale liée à la rénovation ou à la gestion des programmes de fidélité) pour lutter conjointement contre des pratiques (i) commerciales abusives (ii) qui ne respectent pas la protection des données à caractère personnel.

En outre, la CNIL a déjà pu dans le passé transmettre des dossiers à la DGCCRF. Par exemple dans la décision de clôture[1] de la mise en demeure[2] prononcée à l’encontre de la société Genesis Industries Limited qui distribuait des jouets connectés considérés par plusieurs associations (notamment UFC-Que Choisir en France) comme non conformes aux lois européennes sur la protection des consommateurs, la CNIL a constaté que s’agissant de la sécurisation des jouets, elle n’était plus compétente et a décidé de transmettre le dossier à la DGCCRF.

Objectifs du nouveau protocole

Les objectifs principaux du protocole signé le 18 novembre 2024 sont les suivants :  

  1. Échange d'informations : Renforcer l'échange d'informations en ce qui concerne le non-respect du droit de la consommation et de la protection des données à caractère personnel (en ce inclus les dossiers traités au niveau européen, par exemple en matière de protection des données : les dossiers traités par le biais du mécanisme de coopération prévu chapitre VII du Règlement général sur la protection des données). A noter qu’il s’agit d’une des rares conventions de partenariat passées par la CNIL qui prévoit la possibilité d’échanger des informations avec un autre acteur.

 

Au titre de ce protocole de coopération, les enquêteurs de la DGCCRF peuvent informer les agents de la CNIL habilités à contrôler le respect de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des manquements à la protection des données suivants qu’ils constatent[3] :

 

  • La collecte illicite et déloyale de données (exemple : données recueillies auprès de jeunes mineurs sans le consentement des parents),
  • Le défaut de proportionnalité dans les données collectées (exemple : demande d'informations sur l'environnement familial sans lien avec le produit ou service acheté),
  • La collecte de données sensibles (exemple : la collecte de l’orientation sexuelle ou politique sans le consentement de l’acheteur),
  • L’absence de mesures de sécurité (exemple : informations laissées librement accessibles sur un site par un tiers), et
  • L’absence d’information des personnes sur l’exploitation des données à caractère personnel (exemple : formulaire de collecte de données ne comprenant pas les mentions d’information obligatoires).

 

Sur la base de ces informations, la CNIL peut utiliser ses pouvoirs de contrôle et de sanction.

  1. Partages des analyses : Harmoniser les interprétations des législations entre les deux cadres juridiques et veiller à une application uniforme. Le protocole évoque par exemple que des travaux seront engagés prochainement sur une définition commune des « dark patterns », ces procédés mis en œuvre sur internet en général (via des interfaces, messages, présentations ou fonctionnalités) et visant à pousser le consommateur à faire des choix qu’il n’aurait pas faits en leur absence. Si leur utilisation est explicitement interdite sur les plateformes en ligne (y compris places de marché) par le Règlement européen sur les services numériques (le « Digital Services Act » ou DSA) depuis le 17 février 2024, il n’y a à ce jour pas de définition de ces pratiques qui prennent de nombreuses formes.
  2. Mutualisation des expertises : Partager les outils et techniques d'enquête pour une meilleure efficacité lors des contrôles.
  3. Analyses économiques communes : Étudier l'impact de l'économie de la donnée sur la protection des personnes ou encore analyser les effets des pratiques manipulatoires (les « dark patterns » évoqués ci-dessus) sur les consommateurs qui se rendent sur des sites de e-commerce.
  4. Actions de sensibilisation communes (par exemple au sujet des souscriptions abusives de consommateurs à des services non demandés).

On se souvient que les deux autorités avaient déjà signé une convention de coopération avec l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) en juin 2024, visant à encadrer les modalités de leur coopération pour la mise en œuvre du DSA.

 

Ce nouveau protocole entre la CNIL et la DGCCRF complète cette convention, et s’inscrit plus largement dans la logique de renforcement de la collaboration entre l’ensemble des autorités et services chargés de la régulation du numérique, comme le prévoit la loi visant à sécuriser et à réguler l'espace numérique (SREN)./.

 

[1] Décision MED-2017-073 du 17 juillet 2018, clôture de la décision n°MED-2017-073 du 20 novembre 2017.

[2] Décision MED-2017-073 du 20 novembre 2017 mettant en demeure la société Genesis Industries Limited.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement