Une boutique en ligne doit-elle toujours proposer un accès invité que les clients peuvent utiliser sans s'inscrire ? La Cour d'appel hanséatique a dû se pencher sur cette question en tenant compte des principes centraux de la protection des données. Les thèmes centraux étaient Minimisation des données et personnalisés PublicitéLe rapport de la Commission européenne sur l'application de la directive relative à l'égalité de traitement entre les femmes et les hommes dans le domaine de l'emploi et de l'accès à l'emploi a été adopté par le Parlement européen.
Une association de consommateurs porte plainte pour absence d'accès au gaz
Une association de protection des consommateurs a porté plainte contre une entreprise de commerce et de services qui exploite une place de marché en ligne sous un nom de domaine connu.
D'une part, le plaignant a contesté le fait que l'entreprise ne propose pas "d'accès invité" pour passer une commande. Pour chaque processus d'achat, la création d'un compte client permanent avec la saisie de nombreuses données personnelles telles que le nom, l'adresse, la date de naissance, le numéro de téléphone et l'adresse électronique était au contraire impérative. Le plaignant y a vu une Violation contre le principe de Minimisation des données conformément à l'article 5, paragraphe 1, point c) RGPD ainsi qu'au principe des paramètres par défaut favorables à la protection des données, conformément à l'article 25, paragraphe 2, de la directive. RGPD. En particulier, la création obligatoire d'un compte client n'est objectivement nécessaire ni à l'exécution du contrat ni au respect des obligations légales.
D'autre part, la plainte était dirigée contre la pratique de l'entreprise, données à caractère personnel à partir du compte client pour personnaliser le contenu publicitaire, sans avoir obtenu un consentement explicite et informé. Consentement des personnes concernées. Le plaignant a fait valoir que cette utilisation n'était pas couverte par l'article 6, paragraphe 1, point f). RGPD et qu'il s'agissait d'un système complet Profilage qui va au-delà de la publicité directe autorisée par l'article 7, paragraphe 3, de la loi sur la concurrence déloyale.
Le tribunal régional de Hambourg a rejeté la plainte dans son intégralité. Pour justifier sa décision, il s'est notamment référé à un avis du délégué hambourgeois à la protection des données. Protection des données et de la liberté d'information (HmbBfDI), dans lequel la pratique de la défenderesse a été jugée conforme à la protection des données. L'avis précisait notamment que les restrictions demandées par le plaignant étaient trop générales et qu'il fallait tenir compte des intérêts légitimes de la défenderesse à une gestion structurée de la clientèle et à un traitement des données permettant de prévenir la fraude.
Par son appel, le demandeur a poursuivi ses demandes dans leur intégralité et a attaqué le jugement du tribunal régional sur plusieurs points. La défenderesse a rétorqué que les demandes étaient trop larges et non fondées sur le fond et a défendu l'organisation de la structure de son compte client comme étant appropriée et nécessaire du point de vue de la protection des données.
L'OLG de Hambourg a rejeté l'appel et confirmé la décision de première instance.
Pas d'obligation de fournir un accès invité
L'OLG a confirmé l'avis du tribunal régional selon lequel il n'y avait pas de violation de la protection des données. Violation par l'absence de fourniture d'un accès invité. Certes, le tribunal reconnaît le principe de Minimisation des données de l'art. 5, al. 1, let. c RGPD en principe. Toutefois, celui-ci n'est pas violé lorsque Traitement comme dans le cas présent, pour la sauvegarde d'intérêts légitimes conformément à l'article 6, paragraphe 1, point f). RGPD est nécessaire.
Le tribunal a accordé une importance particulière à l'évaluation du délégué hambourgeois à la protection des données et à la liberté d'information (HmbBfDI). Celui-ci a estimé, dans une information officielle, que la conception du processus de commande sans accès invité ne posait pas de problème en matière de protection des données. Ce point de vue se fondait notamment sur le fait que les fonctionnalités supplémentaires liées à un compte client étaient utiles tant aux consommateurs qu'au fournisseur et qu'il n'y avait pas de traitement excessif des données.
Dans le cadre de la procédure, la décision de la Conférence sur la protection des données (DSK) du 24.03.2022, qui stipule que Responsable devraient en principe proposer un accès invité dans le commerce en ligne. Sauf si des circonstances particulières justifient une dérogation. Le tribunal a considéré que de telles circonstances existaient dans le cas concret et a ainsi expressément suivi l'avis défendu par le HmbBfDI.
La défenderesse avait expliqué de manière compréhensible qu'un grand nombre des données enregistrées dans le compte client (par exemple la date de naissance, le numéro de téléphone) étaient nécessaires pour prévenir les fraudes, vérifier la solvabilité ou coordonner les livraisons d'expédition. Le tribunal a constaté que ces collectes de données seraient nécessaires même en cas d'accès invité et n'a donc pas vu de moyen moins contraignant pour atteindre les objectifs légitimes.
Pas de violation des paramètres par défaut favorables à la protection des données
Dans le cadre de son examen, le Hanseatisches Oberlandesgericht s'est également penché sur la question de savoir si la conception du processus de commande par la défenderesse violait l'article 25, paragraphe 2, de la loi sur la protection des consommateurs. RGPDc'est-à-dire le principe de la protection des données par défaut (Privacy by Default). Cette disposition oblige Responsable à travers mesures techniques et organisationnelles veiller à ce que seules les données à caractère personnel nécessaires à la finalité poursuivie soient traitées par défaut. L'objectif est de garantir au mieux la protection des données dès la phase de préréglage d'un système.
Le tribunal est parvenu à la conclusion que la défenderesse satisfaisait à cette obligation. Il a constaté que la création d'un compte client protégé par un mot de passe n'était pas seulement autorisée, mais qu'elle était même favorable à la protection des données. En effet, un tel compte permet aux utilisateurs de consulter leurs commandes, de gérer les retours, de faire valoir leurs droits de garantie et de communiquer efficacement avec le fournisseur. L'enregistrement des données à caractère personnel est effectué dans un but précis et dans une mesure limitée par les exigences légales. Le fait qu'un compte client soit nécessaire pour passer une commande n'est pas contraire au principe de protection des données par défaut, tant que le traitement des données est limité au strict nécessaire.
Le tribunal a notamment souligné qu'aucune donnée ne devait être transmise à des tiers non autorisés sans l'intervention active de l'utilisateur. Troisième et que l'accès aux données était protégé par une procédure de connexion sécurisée. En outre, la Transparence de la défenderesse a été soulignée de manière positive : Les personnes concernées sont informées, lors de la création du compte, de la nature, de l'étendue et des finalités du traitement des données, ce qui répond à l'exigence de la Transparence conformément à l'article 5, paragraphe 1, point a) RGPD complétée.
Dans l'ensemble, le tribunal a confirmé que les mesures techniques et organisationnelles concrètes prises par la défenderesse pour garantir des préréglages favorables à la protection des données au sens de la RGPD sont raisonnables et proportionnées. Un Violation contre l'article 25, paragraphe 2 RGPD n'est donc pas évidente.
Publicité et profilage : pas d'obligation de consentement ?
En ce qui concerne l'utilisation des données clients pour personnaliser les Publicité le tribunal a également rejeté le droit à l'abstention. Certes, cette opération est soumise au champ d'application de la RGPD et non l'article 7, paragraphe 3, de la LCD. Cependant, le tribunal a considéré que l'analyse de l'historique des commandes à des fins de personnalisation constituait un intérêt légitime au sens de l'article 6, paragraphe 1, point f). RGPD. En particulier, le Sénat n'a pas reconnu de profilage global ou d'utilisation de sources de données externes permettant de Consentement auraient été nécessaires.
Ce qui est déterminant, c'est que la personnalisation se limite à des produits et services similaires et se distingue clairement d'un profilage global au sens de l'article 4, point 4. RGPD de la vie privée. Cette dernière impliquerait une analyse systématique d'aspects personnels, tels que les intérêts, le comportement ou la localisation, pour laquelle il faudrait une autorisation expresse. Consentement et que l'utilisateur dispose à tout moment d'un droit d'opposition, comme le prévoit l'article 21, paragraphe 2, de la directive. RGPD est prévue.
Conseil de lecture : La bannière des cookies doit également contenir l'option "Refuser tout".
Accès invité : principe de minimisation des données non absolu
L'arrêt de la Cour d'appel de Hambourg met en évidence que la RGPD ne crée pas d'obligation générale de fournir un accès invité dans le commerce en ligne. Le principe de la Minimisation des données n'est pas absolue, mais nécessite toujours une réflexion axée sur la finalité. De même, l'arrêt renforce le point de vue selon lequel l'utilisation de données clients pour personnaliser des Publicité sous certaines conditions, sans Consentement peut être autorisée, notamment pour les clients existants.
Pour les entreprises, cela signifie une certaine sécurité juridique, à condition qu'elles documentent bien leurs processus de traitement des données et qu'elles s'appuient sur intérêts légitimes de l'entreprise.
Le rôle central de la mise en balance des intérêts selon l'article 6, paragraphe 1, point f), est ici souligné. RGPD Les entreprises doivent vérifier si leurs intérêts légitimes prévalent sur les droits et libertés des personnes concernées. Ce n'est que si c'est le cas que le traitement des données peut se faire sans Consentement se faire en toute légalité.
Source : Arrêt Hanseatische Oberlandesgericht du 27.02.2025 (5 U 30/24)
Vous souhaitez que vos processus en ligne soient conformes à la protection des données et minimiser les risques juridiques ? En tant qu'experts en matière de protection des données, Conformité et les modèles commerciaux numériques, nous vous aidons à évaluer, optimiser et Documentation de vos processus de traitement des données. Convenez d'un premier entretien sans engagement avec nos conseillers spécialisés - et mettez votre entreprise sur la voie du succès en toute sécurité et en conformité avec le RGPD.
German 
English 
Italian 
French