En janvier 2022, la page permettant de créer un compte sur le site « BOULANGER.COM » contenait une case à cocher permettant de s’opposer à des partages de données douteux en lien avec de la publicité ciblée.

Cette case, située après le bouton de création de compte et décochée par défaut, était associé au texte suivant : « Je m’oppose à l’utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. ».

« Je m’oppose à l’utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. »
Formulaire de création du compte du site BOULANGER.COM avec la case douteuse encadrée

Ce dispositif pose deux problèmes fondamentaux : la compréhension du texte et l’utilisation d’un mécanisme (d’« opt-out ») obligeant la personne à préciser pour ne pas faire l’objet d’un traitement.

Concernant le texte, il est tout simplement incompréhensible et ne permet pas de comprendre précisément les traitements réalisés. Le texte utilise des termes vagues comme « tels que » ou « etc » et utilise des noms comme « Valiuz » ou « Oney » que les clients de BOULANGER ne peuvent pas comprendre.

Concernant le fait de préciser ne pas souhaiter être l’objet du traitement, l’utilisation d’un tel mécanisme ne permet pas d’obtenir le consentement de l’internaute. Or, on comprend d’après la politique du site BOULANGER.COM, même si elle n’est pas très claire, que le traitement de données à des fins de publicité ciblée utilise le consentement comme base légale de traitement.

La société BOULANGER a été alertée pour demander la modification du dispositif. La société a répondu « mener une réflexion sur l’évolution du dispositif d’information ».

Une plainte a été déposée à la CNIL pour demander notamment qu’une information claire soit communiquée et que le consentement des personnes soit obtenu avant de réaliser de tels traitements.

La CNIL a répondu, plus d’un an plus tard, que « le traitement visé […] fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL » et que « la société BOULANGER a, avant la date de dépôt de [la] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte ».

La case à cocher n’a pas été retirée. Le texte associé a toutefois été modifié ainsi que la politique relative à ce traitement. De nouvelles informations sont attendues après la fin des « travaux d’accompagnement » de la CNIL.

Chronologie des événements :

  • le 20/01/2022, il a été constaté que le site « BOULANGER.COM » demandait aux internautes, lors de l’inscription, de cocher une case pour ne pas subir un traitement de profilage à des fins de publicité ciblée.
  • le 20/01/2022, un e-mail a été envoyé au Délégué à la Protection des Données (DPO) de la société BOULANGER pour l’alerter et pour demander la modification du dispositif.
  • le 25/01/2022, un e-mail a été reçu du DPO de BOULANGER pour « clarifier » la situation. Les éléments apportés ne permettent toutefois pas d’éclaircir la situation.
  • le 25/01/2022, un e-mail a été envoyé au DPO de BOULANGER pour indiquer que le libellé associé à la case mentionne clairement les termes de « publicités ciblées » et que la politique de confidentialité de Boulanger mentionne le consentement pour les traitements à des fins de publicité ciblée. La modification du dispositif est à nouveau demandée.
  • le 14/02/2022, un e-mail a été reçu du DPO de BOULANGER pour indiquer mener une réflexion sur l’évolution du dispositif.
  • le 23/02/2022, une plainte a été déposée auprès de la CNIL (réf. 28-6897) pour demander (i) qu’une information claire et compréhensible soit communiquée, (ii) que le consentement soit obtenu avant d’effectuer le traitement, (iii) que les clients soient informés que leurs données ont été divulguées et (iv) que la société démontre son intérêt légitime si elle ne souhaite pas recourir au consentement (Voir le contenu de la plainte).
  • le 24/03/2022, un message a été reçu de la CNIL pour indiquer « être intervenus, par courriel de ce jour, auprès de cette société ».
  • le 13/04/2022, un message a été reçu de la CNIL pour indiquer que la « saisine est en cours d’instruction ».
  • le 05/04/2023, un message a été reçu de la CNIL pour indiquer qu’« il est apparu que le traitement visé […] fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL » et que « la société BOULANGER a, avant la date de dépôt de [la] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte » (Voir le message intégral).
  • le 05/04/2023, il a été constaté que la case à cocher était toujours présente, mais que le texte associé a été modifié. La politique de la société a aussi été modifiée et accordait désormais une section aux traitements relatifs à VALIUZ.
  • le 02/06/2023, un message a été envoyé à la CNIL (réf. CNIL-175016-1685693704) pour demander si contrat, une lettre de cadrage ou un document qui encadre ces travaux d’ « accompagnement » existe, et si une copie de cet éventuel document peut être communiquée.