Cinq ans après le signalement d’un problème de consentement forcé, Elkjop écope d’une amende de 1,8 million d’euros

 (thatprivacyguy.com)
1 points par GN⁺ 7 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le club clients nordique du groupe Elkjop exigeait de quitter le programme pour désactiver les e-mails marketing, et un membre a contesté ce fonctionnement en 2021 comme contraire au GDPR et à la directive ePrivacy
  • La question centrale était de savoir si un système où il faut renoncer aux avantages du club clients pour refuser le marketing direct respecte l’exigence de consentement libre
  • L’autorité suédoise IMY a transmis l’affaire à l’autorité de la maison mère norvégienne, et Datatilsynet a infligé le 1er juin 2026 une amende de 20 millions de NOK, soit un peu plus de 1,8 million d’euros
  • Datatilsynet a estimé que le consentement était forcé, pas suffisamment spécifique et insuffisamment éclairé, et qu’Elkjop avait réutilisé les données personnelles collectées pour la publicité et le suivi des conversions sans effectuer l’évaluation de compatibilité exigée par l’article 6(4) du GDPR
  • Le plaignant affirme avoir appris l’issue de l’affaire via GDPRhub, faute de notification de la part des autorités, et annonce demander des explications à l’IMY ainsi qu’envisager une EU infringement procedure et une action civile contre Elkjop

Une désinscription du marketing qui passait par la sortie du club clients

  • À l’été 2021, un membre d’Elgiganten Kundklubb a cherché comment désactiver les e-mails marketing du club clients exploité par le groupe Elkjop dans l’ensemble des pays nordiques
  • En pratique, il fallait annuler l’adhésion au club clients elle-même pour arrêter le marketing
  • Le 30 juillet, le membre a signalé au Data Protection Officer que ce dispositif violait la loi
    • L’article 21(2) du GDPR accorde à toute personne un droit absolu d’opposition au marketing direct
    • Au regard de la directive ePrivacy, l’e-mail marketing n’est licite qu’en présence d’un consentement ou d’une relation client préexistante, et à condition d’offrir un opt-out simple au moment de la collecte des informations puis dans chaque message ultérieur
    • Selon les articles 4(11) et 7 du GDPR, le consentement doit être donné librement et ne peut pas être lié à d’autres conditions ni devenir une condition obligatoire
  • L’argument était que si l’exercice d’un droit déjà acquis impose de renoncer aux avantages du club clients, alors ce consentement n’est pas un consentement librement donné

La réponse d’Elkjop et le dépôt de plainte

  • Elkjop a répondu en substance que « recevoir du marketing/des offres est une condition pour être membre du club clients »
  • Du point de vue du membre, cela revenait à formaliser noir sur blanc une structure qui transformait l’exercice d’un droit en condition d’adhésion
  • Le membre a ensuite engagé plusieurs démarches
    • demande formelle de limitation du traitement au titre de l’article 18 du GDPR
    • demande complète d’accès de la personne concernée au titre de l’article 15
    • le périmètre de la demande couvrait la base juridique, le legitimate interest balancing test, les destinataires, les sous-traitants, les transferts internationaux, le profilage, etc.
    • une plainte a été déposée auprès de l’autorité suédoise Integritetsskyddsmyndigheten (IMY), sous la référence DI-2021-6660
  • L’entreprise a renvoyé vers une politique de confidentialité ambiguë, puis a prolongé le délai de réponse à la demande d’accès à 90 jours, invoquant la « complexité » et des « ressources internes limitées »

Comment une plainte déposée en Suède a abouti à une amende en Norvège

  • Le club clients était exploité par la maison mère norvégienne Elkjop Nordic AS, qui a aussi été considérée comme détenant le véritable pouvoir de décision sur les finalités et les moyens du traitement
  • En septembre 2022, l’IMY a décidé qu’elle n’était pas l’autorité compétente appropriée
  • Dans le cadre du mécanisme de guichet unique de l’article 56(1) du GDPR, l’autorité compétente est celle du pays où se trouve l’établissement principal du responsable du traitement
    • l’établissement principal se situe en Norvège
    • l’IMY a transmis l’enquête et la plainte à la DPA norvégienne, Datatilsynet
    • Datatilsynet a accepté l’affaire
  • L’affaire s’est ensuite prolongée longtemps sans nouvelles notables

La décision de Datatilsynet en 2026

  • Le 1er juin 2026, Datatilsynet a infligé au groupe Elkjop une amende de 20 millions de NOK, soit un peu plus de 1,8 million d’euros
  • Le cœur de la décision reprenait les points soulevés dans la plainte de 2021
    • le consentement du club clients n’était pas valide
    • le consentement était forcé
    • le consentement n’était pas spécifique
    • les membres n’avaient pas été suffisamment informés
  • Datatilsynet a estimé qu’Elkjop avait également utilisé les données personnelles collectées via le club clients pour la publicité et le suivi des conversions
  • Le fait de ne pas avoir effectué l’évaluation de compatibilité exigée par l’article 6(4) du GDPR avant de réutiliser ces données à d’autres fins a aussi été retenu
  • La décision cite notamment les articles 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f) et 6(4)
    • la licéité, l’équité, la transparence et la responsabilité de l’ensemble du dispositif y sont examinées conjointement

Consentement forcé et modèle pay-or-consent

  • Le consentement forcé, le pay-or-consent, le consentement groupé et les modèles du type « pas de service si vous n’acceptez pas tout » sont devenus une pratique quasi standard dans une large partie de l’économie numérique
  • Le point essentiel est que si l’utilisateur perd quelque chose qu’il devrait normalement conserver en refusant, alors ce consentement ne peut pas être un consentement libre
  • Après cinq ans et une amende à sept chiffres, cet argument se retrouve désormais consacré dans une décision publique

Obligation d’informer le plaignant et suites envisagées

  • Le plaignant indique avoir découvert la décision un jeudi matin non pas via l’IMY ou Datatilsynet, mais sur GDPRhub, un wiki géré par des bénévoles
  • L’article 77(2) du GDPR impose aux autorités de contrôle d’informer le plaignant de l’avancement et de l’issue de sa plainte
    • il ne s’agit ni d’une faculté discrétionnaire ni d’une faveur, mais d’une obligation légale
    • le problème soulevé est que la plainte a été déposée auprès de l’IMY, que le dossier transmis par l’IMY a débouché sur une exécution portant sur plusieurs millions d’euros, mais qu’aucune des autorités concernées n’en a informé le plaignant
  • Le plaignant a demandé une explication écrite à l’IMY, avec un délai de réponse de 5 jours ouvrés
  • Il indique que si la réponse est conforme à ce qu’il anticipe, il soulèvera la question dans le cadre d’une European Union infringement procedure
  • Les procédures réglementaires étant terminées, une action civile contre le groupe Elkjop reste également possible, et il affirme que le périmètre du contentieux pourrait s’élargir en raison de détails supplémentaires sur le traitement illicite des données
  • Si Elkjop avait pris en compte le signalement dès 2021, l’entreprise aurait pu éviter l’amende, le traitement illicite, l’atteinte à la marque et les contentieux ultérieurs

À lire aussi

1 commentaires

 
GN⁺ 7 시간 전
Commentaires sur Hacker News

  • Heureux que cette affaire se soit finalement bien terminée, et j’aimerais que davantage de gens vivent ainsi à mesure que la dystopie s’aggrave.
    Surtout aux États-Unis, le simple fait d’exercer ses droits ou de lire en entier les documents qu’on vous demande de signer vous met étrangement dans une position bien moins favorable que ceux qui préfèrent ne rien dire ou se dire « bon, ça ira » pour éviter d’agacer leur entourage ou de faire des vagues.

    • Je suis allé dans un nouvel hôpital et, lors de l’accueil, on m’a demandé de « signer » sur une petite tablette numérique pour que l’assurance soit correctement traitée.
      Quand j’ai demandé à voir une copie papier de ce que j’étais en train de signer, ils n’ont pas réussi à la trouver et, pour une raison quelconque, ils ne pouvaient pas non plus l’imprimer. J’ai donc fini par abandonner, griffonner une signature avec mon doigt et recevoir les soins, ce qui est franchement exaspérant.
    • J’ai déjà loué un appartement aux États-Unis, et les documents disaient que le propriétaire pouvait produire des vidéos, photos et enregistrements audio de moi et de ma famille, et les utiliser à ses propres fins, y compris commerciales.
      Je m’y suis opposé, mais l’attitude était en gros qu’ils n’allaient pas mobiliser l’équipe juridique pour ma seule personne et que, si ça ne me plaisait pas, je pouvais partir.
    • Je fais partie des gens qui lisent chaque ligne des contrats qu’ils signent, y compris les conditions d’utilisation et la politique de confidentialité.
      J’aime presque pouvoir voir qui ça met mal à l’aise. Ça révèle qui est prêt à vous serrer la main sans la moindre intention de tenir sa parole.
      Cette expérience a aussi changé ma manière de rédiger ce type de documents, et les dernières conditions d’utilisation et politique de confidentialité que j’ai écrites étaient chacune assez courtes pour être lues d’une traite.
    • Ma femme a récemment accouché et, quand nous sommes arrivés à l’hôpital, les contractions étaient suffisamment rapprochées pour qu’elle soit admise.
      L’hôpital lui a pourtant tendu une dizaine de pages de formulaires de consentement à signer, alors qu’il est difficile d’imaginer que quiconque les lise.
      Et il est tout aussi difficile d’imaginer qu’on refuse l’admission à cause de ces papiers.
    • Exactement. C’est d’autant plus amer de voir, même dans ce fil, des gens dire qu’ils « banniraient ce client à vie » simplement parce qu’il connaît ses droits.
      C’est lamentable qu’une telle culture soit si répandue même parmi des Américains qui se voient comme des patriotes.
      Ce pays a été fondé sur la rébellion et la revendication de ses droits, et pourtant on dirait qu’aujourd’hui, pour beaucoup de citoyens, l’idéal est devenu exactement l’inverse.

  • La décision complète (en norvégien) : https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Le billet de blog qu’elle résume et une traduction automatique de la section 5.1 (avec un peu d’autre contenu aussi) : https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    J’ai ensuite vu qu’il existait aussi une version officielle en anglais de la décision : https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • La phrase « pour recevoir du marketing/des offres, il faut être membre du club client » n’est pas très claire à première vue.
    Si cela voulait dire « pour devenir membre du club client, il faut accepter de recevoir du marketing/des offres », ce serait un autre sujet, mais formulée ainsi, la phrase semble plutôt dire que recevoir du marketing exige d’adhérer au club.
    On dirait qu’il y a eu une inversion quelque part dans la traduction ou la formulation.

    • C’est un problème de traduction. Le texte norvégien voulait dire que l’acceptation des actions marketing était nécessaire pour adhérer au club de fidélité, mais la traduction automatique l’a rendu mot à mot sans le reformuler dans une structure anglaise naturelle.
    • Oui, ça sonne inversé, et la bonne formulation semble être « pour devenir membre du club client, il faut recevoir du marketing/des offres ».
    • Ici, « marketing/offres » semble désigner les remises.
      En gros, pour obtenir des réductions ou des opérations spéciales, il faut être membre du club ; pour être membre du club, il faut accepter de recevoir des e-mails ; et, au regard du droit de l’UE, on aurait de toute façon le droit d’accéder à toutes les réductions.
    • Moi non plus, je ne comprends pas. Dire que l’adhésion est une condition pour recevoir quelque chose signifie, dans mon esprit, seulement que les non-membres ne peuvent rien recevoir ou ne doivent rien recevoir, pas que les membres doivent nécessairement recevoir quoi que ce soit.
      En soi, cela paraît tout à fait normal et raisonnable.
    • Ça m’a semblé être une erreur de traduction venant d’une langue de l’aire germanophone.
      Par exemple, une structure du type « recevoir les offres est… une condition pour rester inscrit ».

  • Cinq ans, c’est une blague totale. La démocratie et l’État de droit semblent ne plus exister.
    Les politiciens deviennent toujours plus riches, personne ne leur tient tête, ils transmettent leurs fonctions à leur famille, et les impôts continuent d’augmenter pendant que les services se dégradent.
    D’un autre côté, il est presque fascinant de pouvoir observer en direct la destruction de l’Europe et des démocraties occidentales.
    J’imagine que ce genre de déclin douloureux a dû se produire à la fin de l’Empire romain, et j’ai l’impression qu’on assiste aujourd’hui à la fin de l’empire européen/américain.

  • Il y a aussi le problème des entreprises de l’UE qui obligent les candidats, avant même l’entretien, à accepter des politiques anti-vie privée. De manière confuse, elles appellent pourtant cela une « politique de confidentialité ».
    Ces textes disent que l’entreprise, des tiers, en fait pratiquement n’importe qui, peuvent utiliser les données, y compris la voix et l’image, à n’importe quelle fin.
    Bien sûr, tout cela est formulé de manière légèrement ambiguë pour rester difficile à comprendre pour une personne ordinaire.
    Je me demande si des mesures similaires ont déjà été prises dans ce genre de cas.

    • Je n’ai pas personnellement vécu ça, mais vous pouvez déposer une plainte auprès de votre autorité de protection des données locale.
      Ce type de formulation a de fortes chances d’avoir du mal à satisfaire aux exigences de conformité.
      Pour maximiser l’effet, vous pouvez adresser à l’entreprise une demande d’accès au titre de l’article 15 du RGPD afin d’obtenir la liste réelle des destinataires des données, en demandant explicitement ce point, puis envoyer ensuite la même demande à toutes ces entreprises.
      Cela peut ouvrir la voie à des plaintes supplémentaires : par exemple, pourquoi elles n’ont pas fourni les informations requises par l’article 14, ou si la base légale initiale était le consentement, si cette base était réellement appropriée dès lors que le consentement n’était pas librement donné.
    • J’ai récemment vu une entreprise de l’UE utiliser https://www.crosschq.com/ et cela m’a un peu dérangé.

  • Je comprends son point de vue, mais je trouve toujours ça drôle qu’il ait de nouveau poursuivi une autorité juridique qui avait pourtant statué en sa faveur

    • Je ne vois pas ce que ça veut dire. J’ai l’impression qu’il prévoit de poursuivre l’entreprise en cause, et peut-être aussi de déposer une plainte contre l’autorité suédoise de protection des données.
      L’organisme qui a statué en sa faveur est l’autorité norvégienne de protection des données.
    • Si l’on lit le rapport de Datatilsynet, l’autorité norvégienne de protection des données, il cite en contexte « plusieurs plaintes et signalements ».
      Il est possible qu’IMY ait estimé que cette affaire ne relevait pas de sa compétence et ait transmis la plainte à Datatilsynet, puis ait oublié d’en informer Hanff après avoir clôturé le dossier, ou qu’elle n’ait tout simplement reçu aucune réponse de Datatilsynet.
    • S’il a contribué à influencer l’élaboration du RGPD, tandis que le reste du public se sent globalement impuissant et que les autorités compétentes ne font pas correctement leur travail, il se peut qu’au final il soit le seul à demander des comptes

  • Citation de l’article original : la réponse reçue quelques jours plus tard a eu la gentillesse de consigner l’infraction. Selon leurs propres termes : « pour recevoir du marketing/des offres, il faut être membre du club client ».
    Je ne vois pas comment cela peut vouloir dire « si l’on est membre du club, on doit forcément recevoir du marketing/des offres ».
    Pour moi, cela signifie simplement que « seuls les membres reçoivent du marketing/des offres ».

  • D’après mon expérience, l’autorité norvégienne de protection des données, Datatilsynet, garde systématiquement l’utilisateur à l’esprit.
    Il est dommage qu’il faille longtemps pour traverser tout le système, mais elle a tendance à rendre de bonnes décisions de manière constante.

  • L’image ne se charge pas chez moi, et je ne vois que le prompt utilisé pour la générer ; honnêtement, c’est plutôt mieux comme ça

    • De mon côté, je voyais l’image et le prompt, mais aucun style n’était appliqué à l’ensemble de la page.
      Je viens d’actualiser et le CSS s’est chargé ; le prompt n’apparaît plus.
      Le serveur web a probablement été temporairement submergé par le trafic, si bien que, selon les visiteurs, soit l’image soit les fichiers CSS n’étaient pas servis de façon fiable.
    • Et si ce n’était pas un prompt, mais une description d’accessibilité destinée aux lecteurs d’écran ?
    • Ils avaient demandé au modèle de générer dans un style « plan large cinématographique », mais le résultat tire plutôt vers l’illustration, ce qui est un peu amusant

  • Le fait qu’Elkjøp ait effectivement été condamné à une amende est très bien, et tout à fait normal, mais le fait de ne pas avoir continué à en informer la personne concernée est assez surprenant

    • Ce n’était pas à eux de m’en informer, mais au régulateur suédois IMY