Les sites d’intermédiation (comparateurs de tarifs) sont-ils des pourvoyeurs de données

Les sites de comparaisons de tarifs sont-ils des pourvoyeurs de données pour les entreprises qui utilisent leur service ainsi que possiblement pour des data broker ?

Pour faire un devis, une cotation à un utilisateur, il faut fournir des données au système d’information du site web offrant le service de comparaison, ce que fait volontairement – afin de faire d’éventuelles économies – l’utilisateur.

Mais ensuite que deviennent toutes ces données ?

L’utilisateur les a confiées à l’organisme, le site web proposant les services de comparateur qui doit, afin que ses partenaires commerciaux puissent faire un devis, avoir accès à ces données et donc les leur transmettre. Mais ensuite que deviennent-elles ?

Quelles sont les garanties pour l’utilisateur que ses données vont, immédiatement après leur utilisation dont l’unique finalité est la réalisation du devis, être ensuite détruites. Pas anonymisées ni pseudonymisées, mais bien détruites sans qu’aucune sauvegarde partielle ou complète préalable à leur destruction n’ait été réalisée, et sans aucune transmission aux partenaires commerciaux ou à aucun autre tiers n’ait eu lieu.

À la lecture des documents légaux de différents sites proposant ce service, on ne peut pas affirmer que les utilisateurs puissent en être parfaitement et complétement informés, ou encore qu’ils puissent en avoir la garantie ou la certitude.

Il est donc difficile de répondre, mais nous avons constaté un manque de transparence et une réticence voire un refus de répondre aux questions posées.

Il ne s’agit pourtant pas de secrets d’affaires, mais entre autres de questions du type :

– Au moment de l’intégration d’un partenaire commercial, celui-ci a-t-il confirmé par écrit sa conformité au RGPD  et particulièrement dans le détail cette question d’utilisation et de transmission des données ?

– L’utilisateur peut-il avoir accès dans le détail à ces informations avant de devoir compléter le(s) formulaire(s) et peut-il s’opposer à chacun individuellement ?

– L’organisme proposant les services de comparaisons et les partenaires commerciaux qu’il a intégrés et à qui les données vont être communiquées demandent-ils à l’utilisateur de donner son consentement explicitant clairement la finalité et les détails du dit consentement ?

– Comment l’utilisateur procède-t-il s’il veut savoir de façon précise ce qu’il sera fait des informations qu’il communiquera, auprès de qui et comment ?

–  A-t-il été prévu explicitement, sans interprétation possible, que les informations fournies aux partenaires par l’organisme intermédiaire ne puissent pas être communiquées par ceux-ci à aucune autre entreprise, partenaire, associé, filiale ou autre et ce pour quelque raison que ce soit et, s’il y en avait, lesquelles précisément ?

–  Combien de temps les données communiquées à l’intermédiaire et/ou aux partenaires vont-elles être exploitées ?

–  Comment l’utilisateur peut-il exercer son droit d’accès auprès de chacun des partenaires ?

– Une demande d’accès au titre de l’article 15 du RGPD concernant tous les partenaires, individuellement ou collectivement, peut-elle être faites via le site d’intermédiation ?

Il y a bien sur beaucoup d’autres éclaircissements à obtenir, mais il faut bien un début…

Alors faites confiance, mais vérifiez tout de même …

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.