Je ne connaissais pas Deeluxe avant d'être spammé par son service marketing. Cette enseigne de prêt-à-porter est créée en 2004 par les frères Jean-Michel et Laurent Sanchez. Deeluxe propose à la fois des boutiques en propre et, selon L'Observatoire de la franchise, des boutiques en franchise. Voilà pour le contexte du spammeur.

De Jules à Deeluxe

Il y a quelques années, j'ai procédé à un achat tout ce qu'il y a de plus banal dans une boutique Jules, au centre commercial Auchan Soisy-sous-Montmorency. Au moment de régler, on me demande mon adresse e-mail, associée à mon compte client Jules. Jusqu'ici, rien de plus normal à une époque où ventes physiques et gestion de la relation client numérique sont intimement liées.

Pour celles et ceux qui ne seraient pas familiers de ce blog, j'utilise une adresse e-mail spécifique par service, qu'il soit hors ligne ou sur Internet.

Utilisation possible du fichier clients Jules au profit de Deeluxe

Mi-2021, la boutique Jules Auchan Soisy ferme définitivement ses portes. Le prêt-à-porter en France va mal en général et particulièrement pour la marque du groupe Mulliez. L'annonce est notamment faite sur la page Facebook de la boutique.

Courant août 2021, l'emplacement de la boutique Jules est occupé par une nouvelle marque, Deeluxe. Une page Facebook est créée à cette occasion.

Ce n'est d'ailleurs pas un cas isolé de reprise de point de vente Jules par Deeluxe :

L’équipe du magasin attend la fin des travaux pour reprendre le travail. - Mathis Menu Jusqu’au 31 juillet, la boutique de vêtements pour hommes Jules a liquidé sa marchandise avant de fermer définitivement ses portes. En travaux depuis le 2 août, le magasin s’apprête à afficher sa nouvelle enseigne : Deeluxe. [1]

Deux mois plus tard, le 27 octobre 2021, je reçois mon premier spam poussé par Deeluxe sur mon adresse e-mail réservée au compte client Jules. Ce spam m'invite à découvrir les nouvelles boutiques de la marque et à localiser le point de vente le plus proche de chez moi.

Ce détail semblerait indiquer que les données des clients Jules ne sont pas simplement restées au niveau du précédent point de vente physique, mais sont bien remontées au groupe, la société JL 26 qui opère la marque Deeluxe. Les coordonnées parfois citées dans les e-mails ne sont notamment pas celles de la boutique Auchan mais du siège, situé à Marseille.

Entre octobre 2021 et juillet 2022, Deeluxe m'enverra 70 messages (promotions, livraisons offertes, soldes, etc.), soit pratiquement 7 e-mails « commerciaux » par mois. D'autres messages ont pu être bloqués ou filtrés. Il s'agit donc de l'hypothèse basse du nombre de spams poussés par la marque entre ces deux dates.

On s'étonnera qu'un concurrent de Jules puisse utiliser directement et impunément les données des clients d'une de ses anciennes boutiques !

Que dit le RGPD dans ce cas de figure atypique ?

Quelles données personnelles sont utilisées ?

Deeluxe, dans son traitement de données, fait usage du nom, du prénom et d'une adresse e-mail. Chaque envoi d'e-mail fait référence à ces informations dans le champ destinataire. Aucune ambiguïté sur le caractère personnel et nominatif de ces données (on les appelle des DCP).

Qui opère ce traitement ?

Manifestement il s'agit de l'enseigne Deeluxe, c'est-à-dire la société JL 26. Jean-Michel SANCHEZ, en sa qualité de dirigeant, est donc responsable de ce traitement.

Comment les données personnelles ont-elles été collectées ?

Aucune indication de la nature de la collecte n'est précisée dans les 70 e-mailings. Il n'y a pas non plus de renvoi vers une page d'information et d'exercice des droits à destination de la personne faisant l'objet de ce traitement (si ce n'est un lien de désinscription, qui sous-entend que vous vous êtes au préalable inscrit ou que vous êtes client Deeluxe). Comme nous l'avons vu plus avant, les données ont été à l'origine collectées par Jules (Mulliez) avant d'être ensuite exploitée par Deeluxe (JL 26). Ce transfert entre deux responsables de traitement, sans en informer la personne concernée et sans qu'aucun consentement n'ait été demandé et encore moins obtenu, rend dès le départ le traitement illicite.

Quelles sont les finalités de ce traitement et quel est son fondement ?

Le fondement et les finalités ne sont pas non plus exposés dans les e-mails commerciaux ou sur une page de renvoi. Deeluxe effectue ici du démarchage commercial. Il a donc besoin du consentement des personnes visées par ces e-mails de prospection (consentement direct ou indirect, donné via un tiers qui agirait alors en co-responsable de traitement). Le fondement serait donc l'intérêt légitime, à condition que la mise en œuvre du traitement soit cohérente et licite de bout en bout.

Quels articles ne seraient pas respectés ?

Tout d'abord, Jules se rend coupable du point de vue du RGPD, de ne pas avoir su sécuriser les données personnelles collectées auprès de ses clients en boutique (accès illégitime aux données personnelles) (articles 5, 25, 32, éventuellement 33 et 34[2])... Son fichier client s'est retrouvé pour une raison que j'ignore, entre les mains des repreneurs de la boutique Auchan de Soisy-sous-Montmorency (du groupe Mulliez, auquel appartient aussi Jules). Il ne semble pas y avoir de lien juridique entre les deux entités. Si Jules/Mulliez avait souhaité vendre son fichier client, il aurait fallu obtenir le consentement préalable de ses clients. Ce qui, dans mon cas personnel, n'a pas été fait.

Jules s'expose en théorie à une sanction maximale de 12 millions d'euros si la boutique était gérée directement par la marque et non par un franchisé.

Deeluxe, pour sa part :

  1. Met en œuvre et maintient un traitement illicite au regard des articles 5 et 6 du RGPD (licéité contestée, pas collecte loyale, pas de consentement, pas de relation contractuelle...).
  2. Ne fait pas suffisamment preuve de transparence (et pour cause) en matière d'informations, de communication et modalités d'exercice des droits de la personne (article 12).
  3. En l'occurrence, la collecte n'ayant pas été du fait de la personne concernée, le responsable de traitement ne respecte pas non plus l'article 14 concernant les informations obligatoires à fournir soit dans l'e-mail, soit dans sur une page Web dédiée.

Un site qui n'est pas non plus en reste

Enfin, la page des mentions légales du site Deeluxe laisse elle aussi grandement à désirer. Elle s'inscrit typiquement dans l'ère du « pré-RGPD » où seules quelques mentions relatives à la loi « Informatique et Libertés » prévalaient. Pour rappel, la mise en conformité avec le RGPD avait comme date butoir fin 2018.

D'ailleurs, le site Web de la marque Deeluxe ne respecte pas non plus la Délibération n° 2020-091 du 17 septembre 2020 de la CNIL en matière de consentement relatifs aux traceurs de suivi (les cookies). D'une part, il n'est pas possible de décliner le pistage en ligne de vos données personnelles lors de votre visite : le bandeau qui prévient le visiteur de l'utilisation de ces outils n'offre pas d'autre possibilité que celle d'accepter. La liste des cookies déposés, les données collectées, les durées de conservation, leur finalité respective... ne sont pas non plus affichées sur la page des mentions légales.

Plus grave : les cookies de pistage sont déjà déposés avant même que le consentement du visiteur soit recueilli. Et la liste des outils de suivi est relativement longue avec des acteurs peu recommandables en matière de respect de la vie privée : NetAffiliation, Facebook, Criteo, Affilae et Google. Google et Facebook sont d'ailleurs des cas particuliers, le traitement des données collectées se faisant hors Union européenne, sans réciprocité en matière de protection des données entre le droit européen et celui nord-américain.

Notes

[1] Le Jules d’Épernay remplacé par Deeluxe publié dans le journal l'Union

[2] Consulter le règlement général de protection des données sur le site officiel EUR-Lex