«Avez-vous la Supercard?» En Suisse, selon les statistiques de Coop, 3,2 millions d’habitants en possédaient une à la fin de 2014. La Cumulus de Migros, elle, convainc presque autant de clients. En échange de divers rabais et avantages, les distributeurs disposent d’une gigantesque base de données qu’ils utilisent notamment pour personnaliser leurs campagnes de publicité. Cette pratique est cadrée par la loi fédérale sur la protection des données, qui précise que leur collecte doit être «reconnaissable pour la personne concernée» et que les informations doivent être traitées dans le but indiqué.
Pour s’y conformer, les détaillants accompagnent leurs cartes de conditions générales (CG) très explicites. A partir des achats d’un quidam ou d’un ménage, ils établissent un profil du client. Celui-ci peut même être recoupé et complété par des données obtenues auprès d’un tiers (vendeurs de listes d’adresses, etc.) qui peuvent, entre autres, donner des renseignements sur la classe de revenu. Sur cette base, les détaillants ont, par exemple, la possibilité de contacter personnellement tous les clients ayant acheté tel aliment ou tel objet. Ce cas de figure s’est d’ailleurs présenté en 2013, lorsque plusieurs magasins ont rappelé un lot de conserves d’anchois dont le taux d’histamine dépassait les normes légales.
La santé concernée
L’établissement de ces profils inquiète régulièrement des lecteurs, qui se demandent jusqu’où ces informations sont exploitées. Or, une lecture approfondie des CG des cartes de fidélité ne les rassurera pas. Chez Coop, il y a cette mention étonnante: «La participation au programme Supercard donne lieu à l’établissement d’un profil client, qui se compose […] éventuellement de données importantes sur le plan de la santé, qui peuvent être en rapport avec ses achats.» Un peu plus loin, le géant orange précise que «les données du profil client peuvent être transmises à des entreprises partenaires de la Supercard à des fins publicitaires». Parmi ces partenaires, on trouve l’assureur Helsana.
Selon Coop, cette clause aurait été intégrée sur recommandation du préposé fédéral à la protection des données, car l’enseigne vend notamment des produits sans lactose ou gluten. «De tels achats permettent de déduire qu’une personne souffre d’une intolérance», explique son porte-parole Ramón Gander. Information rectifiée par le principal intéressé, qui précise qu’il a uniquement exigé de Coop d’informer les clients au cas où des données relatives à la santé seraient traitées. «Nous sommes en discussion, notamment sur ce point de leurs CG. L’enquête en cours doit déterminer si celles-ci sont utilisées ou non», indique le préposé Francis Meier.
Du côté du grand distributeur, on se veut pourtant rassurant: «Nous ne fournissons pas de données sur le plan de la santé – ou issues des analyses des paniers de clients – aux entreprises partenaires de la Supercard», soutient son porte-parole. Même son de cloche chez Helsana, qui assure n’avoir jamais reçu de données client par ce biais.
Tri sélectif
Mais alors, à quoi servent ces conditions générales si permissives? Un assureur pourrait-il exploiter ces renseignements pour une campagne publicitaire ciblée sur les clients Coop qui achètent beaucoup d’aliments sains et jamais d’alcool ou de tabac? Notre Service juridique considère que oui. En revanche, il estime qu’une caisse maladie ne pourrait pas profiter de ces informations pour coincer un assuré qui fume et prétend le contraire dans un questionnaire de santé. «Car ici, on sort d’une utilisation à des fins marketing, telle que prévue par les conditions générales», précisent nos juristes.
Selon eux, des achats plus délicats encore ne devraient pas pouvoir être divulgués. On pense par exemple à l’achat de médicaments dans une pharmacie du groupe Coop. «Quand il s’agit manifestement de données dites sensibles, la loi impose un consentement explicite. Les conditions générales mentionnent, certes, que des informations importantes sur le plan de la santé peuvent être recueillies et transmises à des entreprises partenaires, mais ça n’est probablement pas suffisant pour conclure au consentement explicite du possesseur d’une carte de fidélité».
Vincent Cherpillod
Eclairage
Ces données intéressent la justice
Dans les conditions générales des cartes Cumulus et Supercard, un autre point attire l’attention: la possibilité que les profils d’achat des clients puissent être transmis aux instances judiciaires. «Dans le cas où une ordonnance juridique de production de pièces, fournie par une autorité compétente (généralement un procureur) est émise dans une affaire pénale, nous transmettons ces informations», confirme Diane Schaefer, porte-parole de Migros. Un cas de figure qui n’a rien de théorique, puisque le géant orange confirme qu’il s’est déjà présenté par le passé.
