Alliance Digitale a contribué à la consultation publique du Comité Européen de la Protection des Données (CEPD) sur le projet de recommandations 2/2025 relatif à la base juridique permettant d’imposer la création de comptes utilisateurs sur les sites d’e-commerce. Celle-ci fait suite à une demande que nous avions faite à la CNIL de porter ce sujet au niveau européen, afin d’éviter le risque de distorsion de concurrence que créerait une doctrine purement française.
Si Alliance Digitale soutient l’objectif d’harmonisation européenne et de protection élevée des droits des utilisateurs, le projet de recommandations repose néanmoins sur une vision théorique du « mode invité » qui ne tient pas suffisamment compte des réalités techniques, économiques et opérationnelles des services numériques actuels.
Nos principales observations
- Une surestimation de la sécurité du mode invité : le projet part du principe que le mode invité serait intrinsèquement plus protecteur que le compte utilisateur, en négligeant les risques accrus de phishing, de fraude, de bots malveillants et de tests de cartes bancaires liés à un parcours de navigation non-authentifié, et en sous-estimant les bénéfices des mécanismes d’authentification avancés que seul un compte utilisateur peut offrir via par exemple l’authentification multifactorielle (MFA) et les clés d’accès ou passkeys.
- Une interprétation trop restrictive des bases juridiques du RGPD : le CEPD devrait inclure un plus grand nombre d’obligations légales pour lesquelles la création d’un compte utilisateur est requise, telle que la mise en conformité avec le droit de rétractation prévu en droit de la consommation, et ne pas produire des recommandations qui s'opposent à liberté d’entreprise consacrée dans la charte des droits fondamentaux de l’Union européenne.
- Une approche uniforme inadaptée à la diversité des modèles économiques : l’approche de ce projet de recommandation ne tient pas assez compte de la réalité des architectures techniques des e-commerçants, historiquement construites autour du compte utilisateur, ni de la variété des modèles du e-commerce actuel (B2C, B2B, C2C et parfois les trois à la fois), au risque de fragmenter l’expérience des utilisateurs et de réduire les choix qui peuvent leur être proposés.
- Une opportunité à saisir de faire du compte utilisateur un levier de mise en conformité : alors que pour les clients récurrents, le mode invité peut conduire à une collecte répétée et redondante de données, le compte utilisateur peut permettre aux personnes d’exercer facilement leur droit d’accès, de rectification et à l’effacement de leurs données, tout en minimisant la quantité de données collectées notamment, et en facilitant la bonne mise en œuvre du droit de la consommation (rétractation, garanties, rappels produits).
Les recommandations d’Alliance Digitale
- Rectifier le postulat selon lequel la sécurité du mode "invité" serait supérieure à celle permise par un compte utilisateur.
- Assouplir l'interprétation des bases légales pour refléter les écosystèmes modernes du e-commerce.
- Intégrer la diversité des modèles économiques et les contraintes actuelles d'architecture technique.
- Faire des comptes utilisateurs un véritable levier de renforcement de l'exercice des droits des personnes tant au titre du RGPD que d'autres régulations applicables au e-commerce, tel que le droit de la consommation.
Consultez la contribution complète ci-dessous :
