Nisran Azouaghe
A.S. Watson, maison-mère de l’enseigne néerlandaise Kruidvat, s’est récemment vu infliger une amende de 600.000 euros par l'Autorité des données personnelles aux Pays-Bas pour avoir collecté et stocké les données personnelles de millions de visiteurs du site Kruidvat.nl à leur insu. Quid en Belgique ?
L’Autoriteit Persoonsgegevens (AP), l’autorité de protection des données néerlandaise, avait lancé, dès 2019, une enquête sur la manière dont plusieurs sites internet, dont celui de Kruidvat, géraient les cookies de suivi. Grâce à ces dispositifs, le gestionnaire d’une page web peut par exemple collecter des informations sur le comportement de navigation et d'achat des utilisateurs, leur localisation, etc. Toutefois, un gestionnaire ne peut le faire que si l'utilisateur a donné son consentement explicite. Or selon l’AP, ce n'était pas le cas de Kruidvat, rapportent plusieurs médias néerlandais ce mercredi. « L’AP estime que l'imposition d'une amende administrative à A.S. Watson est non seulement appropriée, mais aussi nécessaire. En effet, A.S. Watson a violé les droits et libertés des citoyens en traitant illégalement leurs données à caractère personnel. L’AP considère que cette situation est grave et procède donc à l'application de la loi à l'encontre d'A.S. Watson », a notamment déclaré l’Autorité dans un communiqué. Cette dernière évoque des informations « très sensibles », comme des tests de grossesse, des contraceptifs, des médicaments, etc., qui auraient ainsi été conservées illégalement. En désaccord, Kruidvat a décidé de faire appel de la décision de l’AP. Si cette dernière devait confirmer sa sanction, la chaîne de magasins pourrait encore porter l’affaire devant la justice néerlandaise.
Quid en Belgique ?
En l’état actuel des choses, la Belgique et le site Kruidvat.be ne semblent pas concernés par cette enquête menée uniquement aux Pays-Bas. « L’Autorité de protection des données belge n’est a priori pas compétente pour se saisir d’un dossier concernant l’entreprise Kruidvat, et ce, à cause du mécanisme dit du ‘one-stop-shop’ », explique de toute manière Aurélie Waeterinckx, porte-parole de l’APD, qui précise encore que ce mécanisme de collaboration entre les différentes autorités de protection de données prévoit qu’une seule d’entre elles soit compétente pour gérer un dossier en fonction du pays de l’UE dans lequel l’entité mise en cause est établie. « Si l’on en croit la décision de l’Autoriteit Persoonsgegevens, Kruidvat est une filiale de l’entreprise A.S. Watson dont l’établissement principal se situe à Renswoude aux Pays-Bas. C’est donc a priori l’AP qui est compétente pour contrôler les traitements de données effectués par cette entreprise. En clair, si un citoyen belge souhaite porter plainte contre une entreprise située aux Pays-Bas, il pourra porter plainte auprès de l’APD, qui transmettra la plainte à l’AP. Et cette dernière se chargera du dossier, même si elle devra prendre en compte les remarques de l’APD. »
