ACTUALITÉ

Concerts de Céline DionFausse note sur les données personnelles

Cyril Brosset

par Cyril Brosset

Concerts de Céline Dion Fausse note sur les données personnelles
© PHOTOPQR/L'ALSACE/MAXPPP

Des fans de la chanteuse se sont émus que la plateforme de billetterie AXS France les oblige à fournir leurs coordonnées bancaires pour participer au tirage au sort donnant accès à la prévente des places de ses prochains concerts parisiens. La Commission nationale de l'informatique et des libertés (Cnil) leur donne raison.

L’essentiel

  • Pour accéder à la prévente des billets de concerts de Céline Dion, la plateforme AXS a obligé les fans à fournir leurs coordonnées bancaires complètes.
  • La Cnil estime que cette collecte pourrait être considérée comme contraire au principe de « minimisation » du Règlement général sur la protection des données (RGPD).

Une campagne de publicité XXL, un spectacle son et lumière sur la tour Eiffel, une annonce à la télévision à une heure de grande écoute : les équipes de Céline Dion ont vu les choses en grand pour annoncer le retour sur scène de la chanteuse, à l’automne prochain, à Paris.

Le système de billetterie aussi était à la hauteur de l’événement. Pour espérer décrocher l’un des précieux sésames, il fallait s’inscrire, via le site Celinedion.com, à une billetterie (AXS, Ticketmaster, Fnac spectacles) afin de participer à un tirage au sort. Seules les personnes sélectionnées avaient ensuite le droit d’accéder à la prévente. Une procédure faite pour limiter les files d’attente et donner la même chance à chacun de décrocher des places.

Sauf que pour valider leur inscription sur AXS, les participants devaient non seulement créer un compte et entrer leurs coordonnées (nom, prénom, etc.), mais aussi, plus étonnant, fournir le numéro de leur carte bancaire accompagné de sa date d’expiration et de son code à 3 chiffres. Selon la société, cette demande servirait à bloquer les tentatives de connexion automatiques par des bots, des systèmes utilisés par certains revendeurs peu scrupuleux pour s’accaparer un maximum de places. Des millions de connexions abusives de ce genre auraient d’ailleurs été déjouées, selon la directrice générale d’AXS France, interrogée par nos confrères de Ouest-France (la société n’a pas donné suite à nos demandes d’interview).

Une pratique pas très « RGPD friendly »

Même si la plateforme assurait ne prélever aucune somme (encore heureux), des participants se sont étonnés de cette pratique. Et une grande partie d’entre eux se sont résignés à fournir leurs coordonnées bancaires, dans l’espoir de décrocher des places.

La Commission nationale de l’informatique et des libertés (Cnil), que nous avons sollicitée, nous a confirmé qu’une telle collecte pouvait poser problème. « Les données bancaires sont des données hautement personnelles, dans la mesure où leur compromission peut engendrer des risques importants pour les personnes concernées », explique l’instance. De telles données peuvent être collectées et utilisées à des fins de paiement à distance, à condition toutefois de respecter la réglementation en vigueur, et notamment en garantissant qu’elles ne soient pas conservées par le prestataire au-delà de la seule transaction.

Pour ce qui est de la participation à un tirage au sort, en revanche, c’est une tout autre histoire. « La collecte systématique de données bancaires pour d’autres objectifs que le paiement pourrait ne pas satisfaire au principe de minimisation qui veut que les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », assure la Cnil. Autrement dit, cette pratique pourrait être considérée comme contraire au Règlement général sur la protection des données (RGPD) qui veut que les données récoltées soient « strictement nécessaires à la finalité recherchée ». Or, dans ce cas précis, on peut tout à fait imaginer que d’autres moyens moins intrusifs auraient pu être trouvés pour contrecarrer les bots.

Cette pratique est d’autant plus inquiétante que la société ne dit rien sur l’endroit où sont stockées ces données sensibles, ni pendant combien de temps elles seront conservées. En cette période où les vols de données se multiplient, ce n’est pas très rassurant. Céline Dion ou pas, les événements culturels ne peuvent pas contribuer à exposer inutilement les données sensibles de millions de particuliers. Pour ces derniers, l’une des alternatives aurait pu être d’utiliser une carte bancaire virtuelle, que proposent certaines banques.

Lire aussi

Données personnelles - Comment choisir un VPN fiable et sécurisé
Vie privée (vidéo) - Quand des applis pompent vos données personnelles
Piratage de Free - Free lourdement condamné pour des défaillances dans la sécurisation des données

Soutenez-nous, rejoignez-nous

La force d'une association tient à ses adhérents ! Aujourd'hui plus que jamais, nous comptons sur votre soutien. Nous soutenir

image nous soutenir

Newsletter

Recevez gratuitement notre newsletter hebdomadaire ! Actus, tests, enquêtes réalisés par des experts. En savoir plus

image newsletter