En France, les cartes de débit / crédit comportent systématiquement deux schémas : CB et Visa ou CB et Mastercard. CB = Groupement d'Intérêt Économique Cartes Bancaires (GIE CB).
Il est de notoriété publique que Visa élaborait des « rapports anonymisés et agrégés sur les dépenses et le marketing » et les revendait. Probablement à partir des transactions. C'était l'une des faces du programme Visa Advertising Solutions. Il était possible de s'y opposer via un formulaire web dans lequel on saisissait son numéro de carte. Dans sa politique de confidentialité, le GIE CB a toujours déclaré un traitement visant à l'élaboration de statistiques anonymes et le contrat « porteur CB » de ma banque mentionnait ce traitement jusqu'en décembre 2019 (mais il n'a jamais mentionné celui de Visa). Les banques font aussi des stats, d'après la presse. ÉDIT DU 17/12/2023 : idem pour Mastercard. FIN DE L'ÉDIT.
En 2021, Visa a mis un terme à son programme Advertising Solutions, mais sa politique de confidentialité consigne toujours un traitement statistique. Celle du GIE CB continue de mentionner un traitement statistique. Je pense qu'il s'agit de traitement différents :
Ça, c'est la théorie. Mais comment vérifier ? Ce n'est pas à moi de deviner ce qu'une entité fait avec mes données persos. Le RGPD (articles 12 à 14) impose de fournir des informations sur un traitement. J'ai donc demandé aux DPO du GIE CB et de Visa. Réponses :
Je peine à évaluer la pertinence de mes réclamations auprès de la CNIL :
Bonjour,
L'ancien contrat porteur CB proposé par ma banque énonçait un traitement de données personnelles mis en œuvre par le GIE CB visant à « l’élaboration de statistiques anonymes ». Cette finalité n'apparaît plus dans les contrats CB de ma banque postérieurs au 12/12/2019.
Le GIE CB a-t-il cessé ce traitement ou est-ce celui présenté « Suivre notre activité, en particulier par l’élaboration de statistiques anonymes ne permettant pas votre identification » dans votre politique de protection des données (https://www.cartes-bancaires.com/protegezvosdonnees/porteurs/) ?
Dans votre politique de protection des données (https://www.cartes-bancaires.com/protegezvosdonnees/porteurs/), vous énoncez qu'il est possible de s'opposer au traitement « Suivre notre activité, en particulier par l’élaboration de statistiques anonymes ne permettant pas votre identification ».En quoi consiste ce traitement ? Est-ce des statistiques relevant de la granularité "nous avons X transactions/seconde en France à tel instant", "en 2022, nous avons traité X transactions, dont Y sans contact" ou de la granularité "tel jour, il y a eu X transactions dans les magasins de sport du code postal XXXXX" ? Ces stats sont-elles accessibles (gratuitement ou non) publiquement ou aux émetteurs / accepteurs de CB ?
L'opposition au traitement est-elle consignée indépendamment de la CB ou faut-il l'exercer à chaque remise d'une nouvelle CB par sa banque (renouvellement trisannuel, perte, etc.) ? Si l'opposition est indépendante de la CB, a-t-elle une durée maximale (exemple : Visa enregistrait l'opposition à son programme Visa Advertising Solutions durant cinq ans max) ?
Lors de ma future demande d'opposition, quelles informations dois-je fournir ? Le numéro de ma CB (sans la date de validité ni le cryptogramme) me semble être suffisant. La CNIL énonce que la présentation d'un justificatif d'identité est nécessaire uniquement en cas de doute raisonnable (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces).
Bonne journée.
Cher Monsieur,
Nous faisons suite à votre demande d’information du 24 novembre 2022.
Le Groupement des Cartes Bancaires « CB » est amené à traiter des données personnelles (notamment le numéro de carte et sa date d’expiration ainsi que les données relatives aux opérations effectuées au moyen de la carte) des titulaires d’une carte portant la marque « CB » lorsque celle-ci est utilisée dans le cadre d’une opération pour laquelle la marque « CB » a été choisie.
Vous pouvez exercer vos droits, y compris votre droit d’opposition sous réserve de l’absence de motifs légitimes et impérieux de CB, à l’adresse protegezvosdonnees@cartes-bancaires.commailto:protegezvosdonnees@cartes-bancaires.com, en joignant à votre demande une copie recto-verso de votre pièce d’identité.
CB est également amené à réaliser des études et des statistiques à partir de données anonymisées ne permettent pas votre identification. Elles sont notamment réalisées pour :
- La réalisation d'études et de statistiques sur la fraude ;
- Le pilotage et la connaissance de l'activité de CB.
Le détail des données personnelles traitées par CB, de leurs durées de conservation, des destinataires de ces données et des mesures de sécurités mises en œuvre pour les protéger, peut être consulté dans la Politique de protection des données personnelles de CB accessible à: https://www.cartes-bancaires.com/protegezvosdonnees/porteur/. Nous vous invitons également à contacter directement votre banque pour toute question relative à votre contrat porteur.
Nous vous prions d’agréer, Monsieur, l’expression de nos salutations distinguées.
Bonjour,
Le 24/11/2022, j’ai interrogé le DPO du GIE CB afin d’obtenir des informations sur les traitements de données personnelles des porteurs CB qu’il met en œuvre. Voir PJ 1.
En résumé, je demande :
- Est-ce que la finalité intitulée « élaboration de statistiques anonymes » figurant sur le contrat « porteur CB » de ma banque correspond / est la même que celle intitulée « Suivre notre activité, en particulier par l’élaboration de statistiques anonymes ne permettant pas votre identification » référencée dans la politique du GIE CB (https://www.cartes-bancaires.com/protegezvosdonnees/porteurs/) ?
- En quoi consiste le traitement « Suivre notre activité, en particulier par l’élaboration de statistiques anonymes ne permettant pas votre identification » ? Quelle est sa granularité (temporelle, géographique, historisation) ? Les données sont-elles accessibles aux émetteurs / accepteurs ?
- Quelle est la durée maximale de l’effet d’une demande d’opposition à ce traitement (est-elle liée à un numéro de carte bancaire, auquel cas il faut refaire une demande à chaque expiration, soit trois ans, ou est-elle liée à une identité civile, auquel cas une durée max est-elle définie) ?
- Quels justificatifs sont à fournir pour s’opposer à ce traitement ?
Le 08/12/2022, le DPO du GIE CB m’a répondu, cf. PJ 1 :
- Absence de réponse à ma première question ;
- J’apprends une finalité du traitement qui n’est pas énoncée ni suggéré dans la politique du GIE (stats portant sur la fraude), mais la réponse n’explicite pas le traitement, notamment sa granularité et une éventuelle publication / revente du résultat du traitement et/ou des données intermédiaires ;
- Pas de réponse sur la durée d’opposition ;
- L’obligation de communiquer une copie recto-verso d’une pièce d’identité pour s’opposer au traitement me semble inadéquate et disproportionnée :
- Vos préconisations (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces) vont dans ce sens ;
- Pour s’opposer à son traitement similaire « Advertising Solutions » (stats anonymes sur l’usage des CB), Visa demandait uniquement le numéro de la CB. Il semble donc techniquement et juridiquement possible de ne pas demander une pièce d’identité et donc de collecter moins de données dans le cadre d’une demande d’opposition. Le numéro CB est la donnée pivot ;
- Dans sa politique, le GIE CB n’indique pas quelles données personnelles figurant sur une pièce d’identité il détient. Ainsi, un porteur CB ne peut pas savoir quelles informations il doit fournir et adapter en conséquence la justification de son identité, y compris en caviardant les informations excédentaires d’un titre d’identité.
Je sollicite l’intervention de la CNIL afin qu’elle appuie ma demande d’information auprès du GIE CB et qu’elle lui rappelle le caractère facultatif d’un titre d’identité.
Bonne semaine.
Bonjour,
Avant 2021, Visa permettait de s'opposer à la génération de « rapports anonymisés et agrégés sur les dépenses et le marketing » (https://www.visa.fr/legal/privacy-policy-opt-out.html). Mais ce n'est plus le cas : le lien pour exercer son droit de retrait (https://usa.visa.com/legal/global-privacy-notice/visa-advertising-solutions-notice.html) affiche « Visa Advertising Solutions is no longer in service. »
Pourtant, dans votre avis de confidentialité (https://www.visa.fr/legal/global-privacy-notice.html), vous énoncez toujours la finalité « Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients. »
Le programme Visa Advertising Solutions a-t-il réellement pris fin ? Si non, est-il possible de s'y opposer et comment ? A-t-il été remplacé par un autre traitement de données personnelles ? Est-il possible de s'opposer à ce nouveau traitement et comment ?
Dans votre avis de confidentialité (https://www.visa.fr/legal/global-privacy-notice.html) et son supplément européen (https://www.visa.fr/legal/global-privacy-notice/jurisdictional-notice-eea.html), vous énoncez les finalités suivantes :
- transmettre des communications marketing ;
- Administrer des enquêtes, des programmes de fidélité, des loteries, des concours et des événements ;
- recevoir des messages marketing, des offres personnalisées et des publicités basées sur vos intérêts ;
- analyse et modélisation, pour faire de la veille économique et établir des réflexions commerciales, ainsi que pour comprendre les tendances économiques ;
- Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients.
En quoi consiste le traitement « Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients » ? Est-ce des statistiques relevant de la granularité "nous avons X transactions/seconde en France", "en 2022, nous avons traité X transactions, dont Y sans contact" ou de la granularité "tel jour, il y a eu X transactions dans les magasins de sport du code postal XXXXX" ? Ces stats sont-elles accessibles (gratuitement ou non) publiquement ou aux émetteurs / accepteurs de CB ?
Est-il possible de s'opposer à chacun des traitements de données personnelles sus-énumérés ? Existe-t-il un formulaire web pour ce faire ?
L'opposition aux traitements sus-énumérés est-elle consignée indépendamment de la CB ou faut-il l'exercer à chaque remise d'une nouvelle CB par sa banque (renouvellement trisannuel, perte, etc.) ? L'opposition a-t-elle une durée maximale (exemple : vous enregistriez l'opposition à Visa Advertising Solutions durant cinq ans) ?
Lors de ma future demande d'opposition, quelles informations dois-je fournir ? Le numéro de ma CB (sans la date de validité ni le cryptogramme) me semble être suffisant. La CNIL énonce que la présentation d'un justificatif d'identité est nécessaire uniquement en cas de doute raisonnable (https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces).
Bonne journée.
Bonjour
Merci d'avoir contacté le Bureau mondial de la protection de la vie privée de Visa.
Les solutions publicitaires Visa ne sont plus offertes comme service et n'ont pas été remplacées par une alternative. Si vous vous êtes inscrit directement à des produits et services Visa, tels que Click to Pay, les promotions Visa ou les programmes de fidélisation Visa, vous pouvez vous rendre sur le portail de confidentialité Visa à l'adresse https://privacy.visa.com pour exercer vos droits et choix en matière de confidentialité. Si vous vous êtes abonné aux communications de marketing de Visa, vous pouvez vous désabonner en utilisant le lien " Unsubscribe " dans le pied de page du courriel de marketing que vous avez reçu.
Si vous avez besoin de renseignements sur votre carte Visa, sur les transactions par carte Visa ou sur d'autres questions liées au compte Visa (comme le solde, les frais de compte, le changement d'adresse, les points, les récompenses et les milles aériens, les relevés, les achats, les limites de crédit, les paiements de factures, les frais d'intérêt, les différends, les débits compensatoires ou l'état d'une demande de carte), vous devrez soumettre votre demande à la banque ou à l'autre institution financière qui a émis votre carte Visa. Malheureusement, nous ne sommes pas en mesure de vous aider davantage pour ce type de questions.
Nous espérons que cela clarifie vos questions. N'hésitez pas à nous faire savoir si vous avez besoin d'autres informations.
Merci beaucoup,
Bonjour,
Je vous remercie pour votre réponse.
Sauf erreur de ma part, vous n'avez pas répondu à la deuxième partie de mon email initial :
1) En quoi consiste le traitement « Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients » énoncé dans votre avis de confidentialité ? Ces ensembles de données sont-ils accessibles (gratuitement ou non, publiquement ou non) aux émetteurs / accepteurs de CB ?
2) Est-il possible de s'opposer aux traitements suivants prévus dans votre avis de confidentialité ?
- transmettre des communications marketing ;
- Administrer des enquêtes, des programmes de fidélité, des loteries, des concours et des événements ;
- recevoir des messages marketing, des offres personnalisées et des publicités basées sur vos intérêts ;
- analyse et modélisation, pour faire de la veille économique et établir des réflexions commerciales, ainsi que pour comprendre les tendances économiques ;
- Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients.
3) Une opposition aux traitements énumérés en 2) est-elle consignée indépendamment de la CB ou faut-il l'exercer à chaque remise d'une nouvelle CB par sa banque (renouvellement trisannuel, perte, etc.) ? L'opposition a-t-elle une durée maximale ?
4) Lors de ma future demande d'opposition aux traitements énumérés en 2), quelles informations dois-je fournir ?
Pouvez-vous répondre à ces questions, s'il vous plaît ?Merci d'avance.
Bonne journée.
Bonjour,
Je vous remercie pour votre courriel. Notre réponse est la suivante :
1) Pour de plus amples informations sur la manière dont Visa utilise les informations, notamment pour soutenir ses clients, veuillez consulter les pages de notre centre de confidentialité. https://www.visa.co.uk/legal/global-privacy-notice/additional-privacy-information.html.
2) Si vous vous êtes inscrit directement à des produits et services Visa, tels que Click to Pay, les promotions Visa ou les programmes de fidélité Visa, vous pouvez vous rendre sur le portail de confidentialité Visa à l'adresse https://privacy.visa.com pour exercer vos droits et choix en matière de confidentialité. Si vous vous êtes abonné à des communications de marketing, vous pouvez vous désabonner en utilisant le lien "Unsubscribe" dans le pied de page du courriel de marketing que vous avez reçu.
3) Les questions ou demandes concernant vos informations personnelles en rapport avec votre carte Visa ou vos comptes bancaires doivent être adressées à l'institution financière ou à la banque qui a émis votre carte Visa.
4) Veuillez consulter le lien du portail Visa sur la protection de la vie privée ci-dessus qui vous expliquera quelles informations vous devrez fournir pour les demandes soumises à Visa. Comme indiqué ci-dessus, toutes les questions et demandes concernant vos renseignements personnels en rapport avec votre carte Visa ou vos comptes bancaires doivent être adressées à l'institution financière ou à la banque qui a émis votre carte Visa.Merci beaucoup,
Bonjour,
Le 24/11/2022, j’ai interrogé le DPO de Visa afin d’obtenir des informations sur les traitements de données à caractère personnel des porteurs de carte bancaire qu’elle met en œuvre. Voir PJ 1.
En résumé, je demande :
- Avant 2021, Visa proposait un formulaire web permettant de s’opposer à la génération de « rapports anonymisés et agrégés sur les dépenses et le marketing » dont le nom commercial était Visa Advertising Solutions. L’avis de confidentialité actuel de Visa (https://www.visa.fr/legal/global-privacy-notice.html) informe qu’une finalité est « Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées, qui sont utilisés pour le développement de produits et la prestation de services consultatifs aux clients ». S’agit-il d’un renommage du traitement Visa Advertising Solutions ? ;
- Si non, en quoi consiste ce traitement ? Quelle est sa granularité (temporelle, géographique, historisation) ? Les données sont-elles accessibles aux émetteurs / accepteurs ? (Même si l’avis de confidentialité répond partiellement sur ce dernier point avec sa formulation « services consultatifs aux clients », ce n’est pas évident ni aisément compréhensible.) ;
- Peut-on s’opposer à ce traitement ? En fournissant quels justificatifs ? L’opposition est-elle indépendante du numéro de CB ? Si oui, la durée de l’opposition est-elle limitée dans le temps ?
Le DPO de Visa répond le 29/11/2022 (cf. PJ 1) à ma première question (Visa Advertising Solutions n’existe plus et n’a pas été remplacé).
Le 30/11/2022, je le relance sur mes questions portant information sur le traitement « Générer des ensembles de données dépersonnalisées, anonymisées ou agrégées […] » et la manière de s’y opposer. Voir PJ 1.
Le 28/12/2022, le DPO de Visa me répond (cf. PJ 1) :
- Toujours pas d’information sur le traitement ;
- Plusieurs de mes questions sur le droit d’opposition à ce traitement restent sans réponse ;
Je comprends que Visa impose que les demandes d’exercice de droits transitent par les banques émettrices d’une CB afin d’en assurer l’authenticité, mais, là, je demande des informations génériques.
Je sollicite l’intervention de la CNIL afin qu’elle appuie ma demande d’information auprès de Visa.
Bonne semaine.