L’enseigne Sephora sanctionnée pour vente de données personnelles en Californie

Sephora, enseigne de cosmétiques filiale du leader mondial du luxe LVMH, vient de conclure un accord avec la justice de Californie afin de mettre fin aux poursuites entamées pour non protection de la vie privée des consommateurs. Le commerçant est accusé d’avoir violé l’équivalent du RGPD européen, le California Consumer Privacy Act (CCPA).

Un échange en nature qui équivaut à de la vente

Sephora utiliserait les données personnelles de ses clients comme monnaie d’échange avec des prestataires de services analytiques ou publicitaires. « Sephora permettait à des entreprises tierces d’accéder aux informations personnelles des consommateurs en échange d’analyses gratuites ou à prix réduit et de bénéfices publicitaires » accuse le Procureur général de Californie. Ces avantages en nature pour Sephora en échange des données personnelles de ses clients constituent des ventes selon la loi CCPA. Les noms de ces entreprises tierces ne sont pas cités, mais on reconnaît des acteurs comme Google ou Meta.

Le fournisseur du logiciel collectait et conservait des informations personnelles sur les activités d’un acheteur en ligne

Par exemple, selon le procureur, Sephora a installé un progiciel d’analyse et de publicité largement utilisé qui permet au fournisseur de ce logiciel de collecter et de conserver des informations personnelles sur les activités d’un acheteur en ligne. Le fournisseur a ensuite fourni à Sephora des données sur ce que les acheteurs ont fait sur son site Web ou dans son application, comme le nombre de personnes qui ont regardé un produit particulier. Le fournisseur déterminait également qui était l’acheteur, en utilisant de nombreuses données recueillies auprès d’autres sources, puis présentait à Sephora l’option de diffuser des publicités ciblées au même acheteur sur le réseau publicitaire de ce fournisseur.

Sephora a installé et utilisé d’autres services de publicité et d’analyse largement disponibles auprès de sociétés avec lesquelles Sephora avait le même accord fondamental. Sephora a autorisé les sociétés tierces à accéder aux activités en ligne de ses clients en échange de services de publicité ou d’analyse. Selon l’accusation, Sephora savait que ces tiers collecteraient des informations personnelles lorsque Sephora a installé ou autorisé l’installation du code concerné sur son site Internet ou dans son application.

Toutes ces transactions constituent des ventes

Sephora savait également qu’il recevrait des analyses à prix réduit ou de meilleure qualité et d’autres services dérivés des données sur les activités en ligne des consommateurs, y compris la possibilité de cibler les publicités sur les clients qui avaient simplement recherché des produits en ligne. Sephora n’avait pas non plus de contrats de fournisseur de services valides avec chaque tiers, ce qui est une exception à la « vente » en vertu du CCPA. Toutes ces transactions étaient des ventes en vertu de la loi.

Sephora rendait ces informations disponibles en ligne à des trackers tiers en échange d’avantages

Sephora n’a pas révélé aux consommateurs qu’il vendait leurs informations personnelles en rendant ces informations disponibles en ligne à des trackers tiers en échange d’avantages tels que de la publicité ciblée et des analyses à prix réduit, retient-on de l’intervention du Procureur général de Californie. Les manquements de Sephora ont été détectés lors du passage en revue des sites e-commerce. Le procureur général affirme que Sephora n’a pas informé les consommateurs de la vente de leurs informations personnelles. De plus, l’enseigne n’a pas traité les demandes des clients d’exercer leur droit de retrait de cette vente. Sephora n’a pas remédié à ces violations de la loi CCPA dans le délai de 30 jours autorisé.

Le procureur tient à faire du cas de Sephora un exemple pour les autres commerçants et afin de montrer que les consommateurs disposent de droits pour lutter contre la surveillance commerciale. Lors d’une conférence de presse, le procureur général a indiqué que d’autres détaillants avaient été identifiés comme ne respectant pas le CCPA mais que Sephora pour sa part n’avait pas corrigé les manquements qui lui étaient reprochés, selon Bloomberg.

Informations très classiques sur les cyber acheteurs

« Les consommateurs sont constamment suivis sur internet. De nombreux détaillants en ligne permettent à des entreprises tierces d’installer un logiciel de suivi sur leur site e-commerce et dans leur application afin que des tiers puissent surveiller les consommateurs lorsqu’ils font leurs achats » explique-t-il. Dans le cas de Sephora, les informations collectées apparaissent très classiques. Les fournisseurs tiers pouvaient créer des profils sur les consommateurs en sachant si l’internaute utilise un MacBook ou un Dell, la marque d’eye-liner ou les vitamines prénatales placées dans son « panier d’achat », et sa localisation précise.

« Les détaillants comme Sephora bénéficient en nature de ces arrangements »

« Les détaillants comme Sephora bénéficient en nature de ces arrangements, qui leur permettent de cibler plus efficacement les clients potentiels » estime le procureur. L’accord de Sephora avec ces tiers constitue une vente d’information sur les consommateurs selon le cadre de la loi CCPA. Et cela implique des obligations basiques telles que d’informer les consommateurs que leurs informations étaient vendues et qu’ils pouvaient interrompre cette vente. Sephora n’a rempli aucune de ces deux obligations.

L’accord conclu avec le procureur de Californie exige que Sephora paie une amende de 1,2 million de dollars. De plus, Sephora doit se mettre en conformité. Il doit clarifier son mode de fonctionnement et sa politique de confidentialité afin d’inclure la déclaration qu’il vend des données. Sephora doit fournir des mécanismes permettant aux consommateurs de refuser la vente de leurs renseignements personnels.

Sephora devra fournir des rapports au Procureur général

L’enseigne doit faire en sorte que ses ententes en tant que fournisseur de service soient conformes aux exigences de la CCPA. Enfin, il doit fournir des rapports au Procureur général concernant sa vente de renseignements personnels, sur l’état de ses relations avec les fournisseurs de services et ses efforts pour respecter le Global Privacy Control, cadre qui permet aux particuliers d’exercer leurs droits en matière de protection des données. A noter que dans le cadre d’une autre action légale, Sephora et d’autres détaillants s’opposent à une accusation d’avoir partagé sans autorisation de l’information sur les clients afin de déterminer la probabilité qu’ils retournent frauduleusement des produits achetés.