La DGCCRF s’apprête à intensifier ses contrôles sur les avis en ligne, suite à la mise en œuvre du Décret n° 2023-428. Ce texte autorise la collecte massive d’avis sur des plateformes comme Google Maps et Tripadvisor pour identifier les faux avis. Les agents de la DGCCRF disposeront ainsi d’outils pour mener des investigations contre les professionnels publiant des avis suspects. Toutefois, la CNIL souligne la nécessité de respecter les droits fondamentaux, notamment la liberté d’expression, et appelle à une vigilance accrue concernant la protection des données personnelles dans ce cadre.. Consulter la source documentaire.

Quel est l’objectif principal du décret n° 2023-428 ?

Le décret n° 2023-428, entré en vigueur le 1er juin 2023, a pour objectif principal d’autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé « Polygraphe ». Ce traitement vise à collecter massivement les avis déposés sur des plateformes telles que « Google Maps » et « Tripadvisor ».

Cette collecte a pour but d’identifier les faux avis, ce qui est déterminant pour garantir l’intégrité des informations disponibles en ligne. En effet, les faux avis peuvent induire en erreur les consommateurs et fausser la concurrence entre les professionnels.

Comment la DGCCRF utilisera-t-elle les données collectées ?

La DGCCRF, ou Direction générale de la concurrence, de la consommation et de la répression des fraudes, utilisera les données collectées pour fournir des éléments d’investigation à ses agents. Ces éléments permettront d’engager des enquêtes contre des professionnels suspectés d’avoir publié des avis frauduleux, que ce soit directement ou indirectement.

Les avis en ligne doivent respecter les dispositions de l’article L. 111-7-2 du code de la consommation. En cas de manquements, des mesures ou sanctions administratives ou pénales peuvent être appliquées. Ce traitement est donc essentiel pour renforcer la lutte contre la fraude et protéger les consommateurs.

Quelles sont les garanties prévues par le décret concernant la protection des données ?

Le décret prévoit plusieurs garanties pour assurer la conformité avec le RGPD (Règlement général sur la protection des données). Il liste les données et informations qui seront enregistrées, tout en excluant les données sensibles, qui feront l’objet d’un mécanisme de suppression automatique.

De plus, il définit la durée de conservation des données, les personnes ayant accès à ces données, et précise les modalités d’exercice des droits des personnes concernées. Un rapport d’évaluation devra également être remis à la Commission nationale de l’informatique et des libertés (CNIL) six mois avant la fin de la période de trois ans.

Quelles réserves la CNIL a-t-elle exprimées concernant ce traitement ?

La CNIL a exprimé plusieurs réserves concernant le traitement des données prévu par le décret. Elle a souligné que le simple fait que des données soient accessibles sur Internet ne justifie pas leur collecte et exploitation. Chaque traitement doit être évalué au cas par cas pour en déterminer la légalité.

Elle a également noté que de tels traitements pourraient porter atteinte aux droits fondamentaux, notamment la liberté d’expression et la liberté d’opinion. Bien que les objectifs de la DGCCRF soient légitimes, la CNIL appelle à une vigilance accrue sur le respect du principe de minimisation des données et sur la protection des données dès la conception des systèmes.

Quel est le contexte plus large de la collecte de données par les administrations publiques ?

La CNIL a observé un recours croissant par les acteurs publics à des outils permettant de collecter massivement des contenus sur Internet, souvent désignés sous le terme de « Webscraping ». Elle appelle le législateur à établir un cadre général pour réguler l’utilisation de ces outils, afin de garantir un équilibre entre les missions des administrations et la protection des droits des individus.

La mise en œuvre de traitements informatisés pour collecter des contenus accessibles sur Internet soulève des questions importantes en matière de protection des données personnelles. La CNIL insiste sur la nécessité d’un bilan intermédiaire et final pour évaluer l’impact de ces traitements, en particulier en ce qui concerne la lutte contre la fraude.