Situation de départ
Le PFPDT a présenté son rapport final, daté du 1er juin 2015, concernant Postfinance. Le rapport concerne les services de la Poste proposés sous le nom de “PostFinance”. Il s’agit notamment de deux fonctions de PostFinance, “E‑Cockpit” et “Bicicletta”. E‑Cockpit classe les transactions des clients de PostFinance par catégories afin de permettre aux clients d’avoir une meilleure vue d’ensemble de leurs habitudes de dépenses. Les informations correspondantes ne sont mises à disposition que des clients eux-mêmes. Bicicletta va plus loin et calcule sur la base des données E‑Cockpit Affinitésc’est-à-dire la probabilité qu’un client achète certains services. Sur cette base, des publicités ciblées de tiers sont affichées au client sur le portail e‑finance. Aucune donnée personnelle n’est toutefois mise à la disposition des tiers concernés. Selon le PFPDT, ces opérations doivent être justifiées, car tant la catégorisation dans le cadre d’E-Cockpit que l’évaluation dans le cadre de Bicicletta sont disproportionnées10 et parce que Bicicletta viole le principe de finalité11 et le principe d’exactitude des données. Le PFPDT considère ensuite les données personnelles traitées dans Bicicletta comme des profils de la personnalité. Par la suite, le PFPDT examine si un consentement valable a été obtenu.
Certaines des explications du PFPDT sont discutables, certaines sont même indéfendables. Voir à ce sujet Vasella, Sur le caractère volontaire et explicite du consentement en droit de la protection des données, Jusletter v. 16 novembre 2015.
Notion de données personnelles sensibles
L’application de la protection qualifiée des données personnelles sensibles doit donc dépendre du contexte dans lequel les données se trouvent ou sont utilisées.. Le PFPDT a constaté que les données E‑Cockpit catégorisées sont exclusivement à la disposition des différents clients privés dans leur domaine E‑Finance. PostFinance n’exploite pas les données à ses propres fins ou à celles de tiers. Il en ressort que les données collectées dans E‑Finance ne sont pas comprimées par PostFinance en données personnelles sensibles. Seul le client, et donc la personne concernée elle-même, pourrait procéder à une telle évaluation et à une telle compression. Pour ces raisons, on peut retenir que PostFinance ne traite pas de données personnelles sensibles au sens de l’art. 3, let. c, LPD avec E‑Cockpit dans sa configuration actuelle.
Notion de profil de personnalité
Il faut donc partir du principe que l’ensemble de la quantité, du contenu et de la conservation de ces données dans le temps peut constituer une image partielle essentielle d’une personne concernée. Mais même si l’on part du principe qu’il s’agit d’une image partielle essentielle de la personnalité, c’est en fin de compte – comme nous l’avons mentionné au début – le contexte concret dans lequel les données sont utilisées qui doit être déterminant pour savoir si la protection légale qualifiée doit s’appliquer ou non. C’est le cas lorsque l’établissement d’un profil de la personnalité fait courir à une personne concernée le risque de ne plus pouvoir se présenter et s’épanouir dans la société comme elle l’entend. Pour l’évaluation de cet aspect concernant E‑Cockpit, il est décisif que ces données soient exclusivement à la disposition des clients privés individuels qui souhaitent utiliser E‑Cockpit dans leur domaine e‑finance. PostFinance n’utilise pas les données pour une évaluation personnelle et ne calcule pas d’affinités ou autres. Aucune donnée n’est non plus transmise à des tiers. Il n’y a donc aucun risque que les personnes concernées ne puissent plus se présenter ou s’épanouir dans la société comme elles l’entendent. En résumé, compte tenu de l’ensemble de la quantité, du contenu et de la conservation dans le temps des données dans E‑Cockpit, il faut partir du principe qu’il existe une image partielle importante d’une personne concernée. Toutefois, tant que les données sont utilisées exclusivement pour les clients en rapport avec les fonctions d’E-Cockpit et que les données ne sont pas traitées ultérieurement par PostFinance ou par des tiers, E‑Cockpit pas de profil de personnalité au sens de l’art. 3, let. d LPD.
[…]Les connaissances obtenues par des analyses au moyen d’algorithmes sont utilisées dans le contexte de Bicicletta pour des mesures de marketing. Cela signifie que l’on recherche dans les données d’un client concerné […] afin de l’associer à un secteur et de lui proposer des offres publicitaires ciblées sur son portail e‑finance. Ces analyses et évaluations ont lieu en mode connecté, ils échappent à la conscience des personnes concernées, de sorte qu’elles ne peuvent pas non plus en contrôler l’exactitude et l’utilisation dans toute la mesure du possible. Un tel traitement systématique des données peut priver la personne concernée de la liberté de se présenter comme elle le souhaite, en particulier si elle sait que de tels profils existent ou sont en cours de constitution à son sujet. Si ses données de transaction sont systématiquement analysées pour des offres publicitaires destinées à des tiers et si la personne concernée est schématisée en fonction de la branche, cela peut entraîner des modifications dans la pensée, l’action et le comportement de la personne concernée. Et cela peut entraver considérablement l’épanouissement de sa personnalité. Pour ces raisons, il faut partir du principe que l’utilisation et l’analyse des données de transaction chez Bicicletta constituent un profil de la personnalité au sens de l’article 3, lettre d LPD.
Proportionnalité du traitement des données
[…] E‑Cockpit est donc approprié pour compléter l’objectif nécessaire d’E-Finance. On peut toutefois se demander si E‑Cockpit est aussi nécessaire est pour une interface utilisateur d’e-banking qui fonctionne. […] E‑Cockpit constitue désormais un élément fixe pour tous les clients privés d’E-Finance, qui ne peut pas être désactivé. Comme nous l’avons mentionné, E‑Cockpit peut représenter les transactions dans E‑Finance sous la forme d’un diagramme en camembert au lieu de l’ancienne représentation à barres et offre un outil d’archivage et de recherche. De plus, il permet au client privé de définir des objectifs d’épargne ou des budgets et de configurer des messages (“alarmings”). La forme de représentation supplémentaire et les outils complémentaires peuvent constituer un pas important vers la modernisation de l’e-finance et être souhaitables pour de nombreux clients. Le site L’évolution historique d’E-Finance montre toutefois que E‑Cockpit n’est pas absolument nécessaire au bon fonctionnement de l’interface utilisateur de l’e-banking. L’intégration fixe d’E-Cockpit dans E‑Finance sans possibilité de renonciation n’est donc pas nécessaire au sens de l’art. 4 al. 2 LPD.
Exactitude des données
[…] L’art. 5, al. 1, LPD oblige PostFinance à s’assurer de l’exactitude des données personnelles. Dans le cas de Bicicletta, cela n’est en principe pas possible, car les données calculées sont accompagnées d’une une certaine imprécision inhérente est la suivante. Il s’agit ici de probabilités qu’un client de PostFinance concerné appartienne ou non à un groupe cible ou à un secteur déterminé. Bien que PostFinance ait intérêt à ce que les clients concernés appartiennent effectivement au groupe cible calculé, une clarification au sens de l’art. 5, al. 1, LPD n’est pas possible. Il y a donc violation de l’article 5, paragraphe 1, de la LPD..
Évaluation du consentement
Volontariat
Un retrait a pour conséquence que le client n’a plus d’accès électronique à ses comptes PostFinance. Dans ce cas, les clients e‑finance doivent effectuer leurs ordres de paiement par voie postale au moyen d’un formulaire de paiement ou se rendre au guichet de la poste. Dans ce contexte, il convient de noter que PostFinance a étendu en permanence le système du trafic des paiements électroniques au cours des dernières années, alors que l’infrastructure pour le trafic des paiements en espèces a plutôt été réduite, car elle est complexe et coûteuse (voir aussi le message relatif à la loi sur la poste, ch. 5.2.2, p. 5204 – 5205). Cette évolution se poursuivra probablement au cours des prochaines années. En outre, il convient de noter que les clients privés de comptes purement électroniques (comme le compte d’épargne électronique), qui ne sont disponibles que via e‑finance, n’ont pas d’alternative à e‑finance pour pouvoir gérer ces comptes. Il s’ensuit qu’en cas de refus des nouveaux TNB e‑finance, les clients ne disposent d’aucune alternative d’action raisonnable. En acceptant les nouvelles CCT relatives à E‑Finance, les clients seront également contraints d’accepter le traitement des données en rapport avec E‑Cockpit. Comme il n’y a pas de possibilité de renonciation pour E‑Cockpit, il n’y a pas de caractère volontaire au sens de l’art. 4 al. 5 phrase 1 LPD. Par conséquent, il n’y a pas de consentement valable pour E‑Cockpit au sens de l’art. 4 al. 5 phrase 1 LPD..
Expressivité
Tous les autres clients qui avaient déjà accepté les TNB avant le 12 octobre 2014 n’avaient pas directement cette possibilité de choix sur la page intermédiaire d’E-Finance. La déclaration était certes volontaire au sens de l’art. 4, al. 5, phrase 1 LPD, puisque les personnes concernées peuvent à tout moment se désinscrire ultérieurement de Bicicletta (“opt-out” ; cf. ch. 20 des CTT E‑Finance et ch. 5.5.3 du présent rapport final avec remarques). Comme l’informe la dernière phrase du ch. 20 des DT relatives à E‑Finance, PostFinance part du principe que le client privé donne son accord jusqu’à ce qu’une personne concernée renonce à son droit d’accès. Le consentement au traitement des données dans le cadre de Bicicletta ne doit toutefois pas être implicite. L’acceptation globale des nouvelles TNB relatives à e‑finance ne s’accompagne donc pas expressément du consentement des personnes concernées au traitement des données en relation avec Bicicletta. Pour les clients qui ont accepté les TNB sous la forme décrite avant le 12 octobre 2014, il n’y a donc pas de consentement exprès au sens de l’art. 4 al. 5 phrase 2 LPD.