poseidon-3132730_1920 14. septembre 2018

Les grands mythes du RGPD : le consentement – distinguer le vrai du faux

 

Le RGPD est entrée en vigueur le 25 mai 2018. Le moins que l’on puisse dire c’est qu’il s’est passé énormément de chose avant et après. Peu de sujets ont autant défrayé la chronique et on fait l’objet d’autant de publication. Rien qu’au mois de mai, le terme « RGPD » a été recherché plus de 500.000 fois par les français¹.

Cependant, comme bien souvent avec les sujets qui font les premières pages, il est difficile de distinguer le vrai du faux, les mythes de la réalité. De nombreux articles vous présentent des solutions miracles ou des méthodologies infaillibles pour se mettre en conformité. Mais cet afflux d’informations n’a pas eu forcément pour effet de rendre les entreprises plus responsable par rapport au traitement et à la protection des données mais a plutôt entraîné une confusion générale.

L’exemple le plus flagrant étant le déluge d’e-mails reçus avant et après le 25 mai qui vous demandait ou bien de donner votre consentement à nouveau ou bien de le donner pour la première fois ou simplement qui vous informait qu’en raison de l’absence de consentement vous ne recevrez plus ladite newsletter. Quelle est la bonne démarche à suivre ? Beaucoup de questions, mais peu de réponses concrètes.

C’est pourquoi, à lawpilots avec nos partenaires d’ISiCO Datenschutz (société de conseil en protection des données et en cybersécurité avec plus de 10 ans d’expérience) nous avons rassemblé pour vous les plus grands mythes à propos du consentement et tenté de répondre aux principales intérrogations concernant un des points phares du RGPD.

« Le consentement – distinguer le vrai du faux. »

 

Selon le RGPD et la LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles le consentement éclairé et libre des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le consentement est une des colonnes vertébrales du RGPD qui impose des exigences strictes lors de son recueil. Mais quelles sont véritablement ces exigences ? Tout ce qu’on peut entendre à propos du consentement est-il correct ? Voici les 9 fausses idées sur le consentement selon le RGPD :

1. « Les consentements doivent toujours être obtenus par écrit ! »

Le RGPD est là pour encadrer et renforcer les règles du recueil du consentement des personnes mais pas pour rendre la vie impossible aux entreprises ! Tout action affirmative initiée par le sujet du traitement de données est suffisant. Théoriquement, un signe de tête pourrait suffire. Seulement en théorie, car les responsables de traitement doivent prouver que le consentement a été recueilli de manière valable (obligation de documentation et de preuve), ce qui devient difficile avec un signe de tête. Un clic sur une case à cocher (opt-in ) est la forme de consentement digital la plus répandue.

Attention :

  • une case déjà cochée qui doit être désactivée (opt-in passif) n’est pas considérée comme un consentement valable
  • encore moins les cases à cocher pour refuser le consentement (opt-out actif)
  • ou – le pire de tous – l’accord obligatoire sans possibilités de refuser (opt-out passif).

2. « Les consentements obtenus avant l’entré en vigueur du RGPD son invalides ! »

Non. Les consentements obtenus avant le 25.05.2018 sont toujours valables, à condition qu’ils aient été obtenus conformément aux exigences du RGPD. Si telle est le cas, il n’est pas nécessaire d’obtenir de nouveau le consentement des personnes, ce qui est très plausible étant donné que les exigences en matière de consentement de la Loi Informatique et Libertés du 6 janvier 1978 étaient relativement similaires à celles du RGPD. Dans le cas contraire, il faut simplement mettre le consentement à jour auprès des personnes.

Attention : des exigences particulières s’appliquent pour le consentement des mineurs.

3. « Les mineurs ne peuvent pas donner un consentement valable ! »

Il est vrai que le RGPD prévoit une limite d’âge pour que l’octroiement d’un consentement soit défini comme valide. Cependant cela ne veut pas dire que les mineurs ne peuvent pas donner un consentement valide. En effet, le RGPD prévoit que les mineurs ne peuvent consentir effectivement au traitement de leurs données personnelles qu’à partir de l’âge de 16 ans. Cette limite d’âge peut encore être réduite par les États membres jusqu’à la limite inférieure absolue de 13 ans. En France l’âge-limite a été réduit à 15 ans. Pour le traitement des données des personnes de moins de 15 ans, les responsables du traitment ont besoin de l’autorisation du représentant légal.

4. « Les consentements peuvent également être obtenus après le traitement des données ! »

Le mythe selon lequel la date de l’obtention du consentement n’a pas d’importance est évidemment faux. Le “consentement” est un terme juridique que l’on pourrait remplacer par “accord préalable”. Le consentement doit être obtenu avant la collecte et le traitement des données, ainsi que pour chaque traitement de données différent. Le consentement n’est pas un concept rétroactif. Ce qui est en soi assez logique. L’obtention du consentement après le traitement des données, reviendrait (pour caricaturer) à prendre le téléphone d’un de vos collègues sous ses yeux, à l’utiliser et puis avant de lui rendre de lui demander s’il est d’accord pour vous le prêter car vous avez oublié le vôtre à la maison.

5. « Pour avoir un consentement valide le double opt-in est obligatoire ! »

Tout d’abord, il est important de préciser que le RGPD a signé la fin de l’Opt-in passif, de l’opt-out actif et de l’opt-out passif! Les consentements qui sont recueillis par l’intermédiaire de case à cocher (opt-in) doivent impérativement être accordés de manière “actifs” (par un clic). Le double opt-in consiste à obtenir le consentement par deux fois auprès des personnes. Par exemple, pour recevoir une newsletter il faudrait cocher une case et cliquer sur un lien pour confirmer son inscription. L’avantage de cette procédure est qu’elle offre une preuve authentique de l’octroiement du consentement, ce qui est absolument nécessaire pour remplir l’obligation de documentation et de preuve des consentements. Si cette preuve peut également être fournie par le biais de la procédure d’opt-in unique, le double opt-in n’est pas nécessaire. Disons que le double opt-in offre plus de sécurité contre les sanctions ! Conclusion, ce n’est pas (sauf cas spécifique) obligatoire, mais fortement conseillé. Comme on dit, mieux vaut deux fois qu’une !

6. « Un seul consentement est suffisant pour tous les types de traitement. »

L’idée qu’un consentement permet le traitement sans restriction de l’ensemble des données personnelles d’un utilisateur est tout droit sorti du chapeau pointu de lustucru. La validité d’un consentement se vérifie à partir de 4 critères fondamentaux, il doit être libre, éclairé, univoque et spécifique². Par éclairé et spécifique il est entendu que les personnes doivent être informées en détail de la finalité pour laquelle ses données seront utilisées. Elles doivent être en mesure de décider elles-même des traitements auxquels elles souhaitent consentir.

Attention : le consentement n’est pas donné librement si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.³

Exemple : un client commande des marchandises dans une boutique en ligne. Lors de la commande, le client est informé que les données saisies (par ex. l’adresse e-mail, l’adresse postale, le numéro de téléphone) peuvent également être utilisées à des fins publicitaires. Afin de poursuivre le processus de commande, le client doit donner son consentement à l’utilisation de ses données à des fins publicitaires. Étant donné que le consentement au traitement des données n’est pas nécessaire pour la fourniture du service – expédition du produit – le consentement n’a pas été donné librement.

7. La procédure de révocation du consentement doit être exactement similaire à celle de son obtention.

Une fois le consentement donné, il doit pouvoir être révoqué à tout moment. La disposition de l’article 7 al. 3 du RGPD l’expose clairement : « La personne concernée a le droit de retirer son consentement à tout moment […] Il est aussi simple de retirer son consentement que de le donner. » Cela ne signifie toutefois pas que la procédure de révocation doit être exactement la même que celle de demande du consentement. En particulier dans l’e-commerce en ligne, le consentement est généralement donné par une case cochée (opt-in) au tout début du processus de traitement des données, sans possibilités d’annulation ultérieure, sauf dans le cas où il existe un compte client. Le maître mot est simplicité. Tant qu’il existe une manière simple de révoquer le consentement, c’est suffisant. Pour les newsletters (celles qui sont conformes au RGPD), vous trouverez la plupart du temps un lien en bas du message qui permet de vous désabonner de la liste d’envoie (lien qui est souvent écrit avec une police lilliputienne).

8. « Je ne peux traiter aucune donnée sans consentement ! »

En l’absence de consentement au sens de l’art. 6 (1), lit. b et c du RGPD, le traitement peut, sous certaines conditions, également être fondé sur des intérêts légitimes (par exemple : commerciaux), tant que cela ne prévale pas sur les droits fondamentaux des personnes (RGPD art. 6 (1) lit. f). Selon les situations, le RGPD peut reconnaître les intérêts économiques d’une entreprise comme des intérêts légitimes, comme par exemple la prospection ou la publicité. Toutefois, les entreprises doivent néanmoins procéder à une mise en balance des intérêts, qui doit être en faveur de l’entreprise.

9. « Pour chaque cookie que je collecte, j’ai besoin d’un consentement ! »

Le sujet des cookies et du consentement était déjà confus dans l’ancienne situation juridique et l’est encore malheureusement dans la nouvelle loi sur la protection des données. Dans tous les cas, il est certain que les cookies sont des données personnelles qui sont protégées par le RGPD. Cela signifie que l’utilisation de cookies est généralement interdite, à moins que la personne concernée n’y ait consenti ou qu’il existe un des motifs d’autorisation prévus à l’art. 6 du RGPD. Comme décrit ci-dessus, le traitement des données peut également être autorisé conformément à l’art. 6, al. (1) lit. f du RGPD s’il y a un intérêt légitime à le faire. Cela comprend, entre autres, les intérêts économiques des entreprises (p. ex. la publicité). Il convient de déterminer si l’intérêt du traitement des données l’emporte sur l’intérêt de la personne concernée à la protection des données.

Toutefois, il existe de bonnes raisons pour lesquelles l’utilisation de cookies peut également être basée sur un intérêt prédominant au sens de l’art. 6, al. (1) lit. f du RGPD, la raison la plus fréquemment invoquée étant l’optimisation du site internet et de l’expérience utilisateur. Cela ne pose aucun problème tant que les données collectées sont pseudonymisées. La pseudonymisation assure bien la protection des données des utilisateurs. Cependant, même dans cette optique, il est judicieux d’utiliser une bannière de cookies pour informer l’utilisateur du site internet de la collecte de ses cookies et de la manière dont ils sont utilisés.

Attention : La personne concernée doit toujours avoir la possibilité de s’opposer à l’utilisation de ses cookies et doit en être clairement informée.

[1] Google Adwords – Keywords Planner

[2] https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

[3] RGPD article 7, paragraphe 4

18. septembre 2018
Dans quels cas suis-je autorisé à traiter des données personnelles ?
En savoir plus
14. septembre 2018
Les grands mythes du RGPD : le consentement – distinguer le vrai du faux
En savoir plus

Nous contacter

Nous sommes à votre écoute :

+331 78 90 68 06
[email protected]

Antoine Levollant
Contactez notre service client et nos conseillers du Lundi au Vendredi entre 8h30 et 19h00

Vos informations seront bien entendu traitées de manière confidentielle. La transmission des données est cryptée. Vous trouverez de plus amples informations dans notre politique de confidentialité (EN).