RGPD à Norauto via Valiuz


Les deux trai­te­ments pour lesquels Norauto est respon­sable de trai­te­ment sont […] tout comme chaque enseigne membre de l’Al­liance, partage auprès de Valiuz les données clients collec­tées dans le cadre de la rela­tion client. Ce fichier pseu­do­ny­misé est conso­lidé par Valiuz afin d’être croisé et enri­chi avec les données des autres enseignes pour défi­nir des segments communs aux enseignes.

Réponse de Norauto

La graisse est de moi. Vous vous doutez que la leur n’est pas au même endroit.

J’ai enfin la réponse claire que j’at­ten­dais :

  • Norauto est respon­sable de trai­te­ment. Peu importe ce qui est fait par Valiuz, c’est fait en leur nom, à leur demande, pour leur usage, sous leur respon­sa­bi­lité.
  • Norauto (en tant que respon­sable de trai­te­ment) partage mes données pour qu’elles soient croi­sées avec celles des autres enseignes et enri­chissent les données des autres enseignes.
  • Norauto (en tant que respon­sable de trai­te­ment) récu­père les données parta­gées par les autres enseignes pour les croi­ser avec les siennes et enri­chir ses propres données.

Et les points éclai­rés plus haut sont très impor­tants parce que :

  • Le discours de Norauto et des diffé­rentes enseignes a toujours été qu’il n’y a pas partage de données entre les enseignes. Certes ça passe tech­nique­ment par Valiuz mais pour que Norauto (en tant que respon­sable de trai­te­ment) puisse croi­ser (et donc trai­ter) les données des autres enseignes, il faut bien qu’on ait pu lui parta­ger. Ca fonc­tionne aussi dans l’autre sens : Pour que les autres enseignes puissent faire ce même trai­te­ment, il faut que Norauto leur ait partagé. Bref, « on vous ment on vous spolie » (réfé­rence que seuls les plus vieux compren­dront)
  • Norauto se base sur l’in­té­rêt légi­time, ce qui pouvait être accep­table si les trai­te­ments se faisaient sans partage, mais l’in­té­rêt légi­time peut diffi­ci­le­ment justi­fier une mise en commun et croi­se­ment des histo­riques et données d’achat entre plusieurs enseignes distinctes.

Une partie de la défense c’est que c’est fait via Valiuz et sous forme pseu­do­ny­mi­sée, sauf que :

  • Valiuz n’est qu’un sous-trai­tant. Il agit pour et au nom de Norauto (et des autres enseignes). Ça ne change rien pour moi qui ne les ai pas comme respon­sable de trai­te­ment.
  • La pseu­do­ny­mi­sa­tion propo­sée ne retire en rien le statut de données person­nelles, et que cette pseu­do­ny­mi­sa­tion est faite pour être commune à tous les acteurs et réver­sible. C’est l’objet même du trai­te­ment : pouvoir réiden­ti­fier les données obte­nues suite au trai­te­ment. Bref, ça fait joli sur le papier mais ça ne change rien.

L’épi­sode précé­dent Valiuz et données person­­nelles


J’ar­rive au bout puisque leur dernière réponse est « Nous sommes déso­lés si nos éléments de réponses ne vous conviennent pas. » sans répondre aux deux dernières ques­tions qui disent grosso modo ce qui est dans ce billet.

Reste à faire la plainte à la CNIL d’une façon à ce que l’au­to­rité regarde vrai­ment le fond sans s’ar­rê­ter aux néga­tions de surface des enseignes et de Valiuz. Ça va me prendre un peu de temps.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.