Attention à bien vérifier la conformité de vos avis en ligne et à supprimer ceux qui “semblent” suspects, la DGCCRF prépare une vague de contrôles massive.

Le Décret n° 2023-428 du 1er juin 2023 autorise la mise en œuvre d’un traitement de données à caractère personnel dénommé « Polygraphe » qui procèdera à la collecte massive des avis déposés sur les plateformes « Google Maps » et « Tripadvisor » aux fins d’identifier les faux avis. 

Collecte massive des avis en ligne 

Celui-ci autorise pour une durée de trois ans à compter de son entrée en vigueur, la création d’un traitement de données à caractère permettant la collecte automatique, le traitement et l’analyse de l’ensemble des avis en ligne figurant sur les interfaces des sites internet d’opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du code de la consommation. 

Un traitement pour la DGCCRF 

Le traitement permet de fournir aux agents de la concurrence, de la consommation et de la répression des fraudes des éléments permettant d’aider à l’engagement d’investigations à l’encontre d’un professionnel qui aurait mis en ligne de manière directe ou indirecte des avis suspectés de ne pas constituer des avis en ligne au sens de l’article L. 111-7-2 du code de la consommation et pouvant donner lieu, le cas échéant, à des mesures ou sanctions administratives ou pénales en raison de manquements aux règles du code de la consommation. 

Conformité RGDP du nouveau traitement 

Le décret liste les données et informations enregistrées dans le traitement à l’exclusion des données sensibles au sens de la loi du 6 janvier 1978 qui font l’objet d’un mécanisme de suppression automatique. 

Il définit la durée de conservation des données, les accédants de ces mêmes données et précise également les modalités d’exercice des droits des personnes concernées. Il prévoit également la remise d’un rapport d’évaluation à la Commission nationale de l’informatique et des libertés six mois avant son terme. 

Les réserves de la CNIL 

Saisie pour avis sur ce texte, la CNIL a considéré de manière générale, que la seule circonstance que les données soient accessibles sur internet n’autorise pas à les collecter et à les exploiter pour quelque finalité que ce soit. La licéité de chaque traitement doit être appréciée au cas par cas.

De plus, la nature de tels traitements est susceptible de porter atteinte aux droits et libertés fondamentaux, dont la liberté d’expression et la liberté d’opinion. De telles atteintes ne peuvent être admises que si des garanties suffisantes sont prévues.

Les objectifs poursuivis par la DGCCRF, à savoir lutter contre les « faux avis » sur internet et améliorer l’efficience des contrôles de ses agents sont légitimes, et peuvent justifier que les avis librement accessibles puissent être traités.

Le traitement envisagé consiste à analyser automatiquement l’ensemble des avis postés sur les deux principales plateformes, pour l’ensemble des professionnels.
Il est pris acte des garanties mises en œuvre par le ministère, telles que l’exclusion de toute décision de contrôle automatisée ou encore la séparation entre les services chargés du traitement envisagé et ceux chargés des enquêtes et de la collecte de preuve d’activités potentiellement frauduleuses.

La Commission appelle toutefois à une vigilance particulière quant à l’application du principe de minimisation des données et de protection des données dès la conception.

En dépit des garanties prévues, la mise en œuvre de ce type de traitement témoigne d’un changement d’échelle significatif dans le cadre des prérogatives confiées à la DGCCRF pour l’exercice de ses missions.

Il convient de faire preuve d’une grande prudence quant au développement de ce type de traitements informatisés permettant de collecter les contenus librement accessibles et publiés sur internet, eu égard à leurs potentielles conséquences importantes en matière de protection de données à caractère personnel.

De manière générale, la Commission constate un recours croissant par les acteurs publics aux outils permettant d’aspirer de manière massive et indifférenciée des contenus sur internet (« Webscraping »).

Elle appelle le législateur à fixer un cadre général dans lequel les administrations pourraient, si nécessaire, recourir à de tels outils, afin de garantir un équilibre entre les missions des administrations et la protection des droits des individus.

Un bilan intermédiaire et un bilan final devraient être réalisés et communiqués à la CNIL selon le calendrier qui lui sera communiqué avec le projet de décret. Elle rappelle à cet égard que le bilan, prévu par la loi de finances pour 2020, de l’expérimentation de collecte de données personnelles sur les plateformes afin de lutter contre la fraude ne lui a pas été communiqué à ce stade et appelle à ce qu’il le soit rapidement.