Nouvelles dispositions de Swisscom en matière de protection des données

Au cours de l’année sous revue, Swisscom nous a informés d’un projet de modification de ses traitements de données. Dans ce contexte, nous avons expliqué à l’entreprise ses obligations légales concernant l’information et le consentement des clients.

Au cours de l’année sous revue, Swisscom a planifié l’introduction de diverses modifications dans le traitement de ses données clients. L’objectif visé est de pouvoir transmettre aux clients des offres publicitaires sur mesure. Par ailleurs, certaines données ne permettant pas l’identification des personnes seront mises à disposition du réseau publicitaire Admeira. Swisscom a formulé l’intention d’informer sa clientèle dans une déclaration de protection des données séparée et d’adapter ses conditions générales en conséquence. Elle nous a demandé de prendre position sur ces projets.

Notre examen a révélé que l’extension prévue du traitement des données induisait l’établissement de profils de personnalité au sens de la loi sur la protection des données. Comme les données sont traitées dans un nouveau but (marketing), un motif justificatif est nécessaire. Dans le cas présent, seul le consentement de la personne concernée peut être envisagé. Selon la loi sur la protection des données, le traitement de profils de personnalité n’est autorisé que si la personne concernée y a explicitement consenti. L’entité qui traite les données est soumise à une obligation d’information étendue: en recueillant le consentement écrit ou par voie électronique du client, elle doit informer ce dernier de façon concise de la création de profils de personnalité, sans quoi le consentement n’est pas valable. Cette information doit comprendre un renvoi aux points correspondants de la déclaration de protection des données, pour une consultation plus approfondie des informations.

 Les clients ont le droit de refuser a posteriori le traitement de leurs données à des fins de marketing ainsi que la transmission des données à des tiers. L’entreprise doit veiller à ce que ce refus puisse être communiqué selon des modalités aussi simples que possible. Swisscom a proposé d’informer ses clients existants, par courrier individuel, des nouvelles conditions générales et de la déclaration de protection des données séparée. Ce courrier devait également expliquer très clairement comment les clients peuvent s’opposer au nouveau traitement des données. Nous avons approuvé cette proposition, qui répond aux impératifs d’information et de transparence. Pour les nouveaux clients, l’entreprise de télécommunication prépare actuellement une solution transparente pour intégrer la nouvelle déclaration de protection des données et le consentement explicite dans les variantes en ligne et hors ligne. Chaque client a en outre la possibilité de s’opposer au traitement de ses données personnelles à des fins de marketing, ou de révoquer son consentement, soit en ligne, dans son espace client, soit par téléphone.

Ces mesures, pour l’instant partiellement appliquées, respectent les exigences légales. Nous restons en contact avec Swisscom et allons accompagner la mise en œuvre définitive de nos suggestions.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/24e-rapport-d-activites-2016-2017/nouvelles-dispositions-de-swisscom-en-matiere-de-protection-des-.html