Le consentement mis à nu

Intervention Université des DPO 2018 AFCDP

Télécharger les slides

Le portrait-robot du consentement (avant/après RGPD)

Légende

=

Signifie qu’il n’y a pas d’évolution ou que les conséquences des évolutions sont minimes quant à l’utilisation du consentement comme base légale de traitement.

+

Signifie qu’il y a des évolutions rendant plus aisée l’utilisation du consentement comme base légale de traitement.

Signifie qu’il y a des évolutions rendant plus difficile l’utilisation du consentement comme base légale de traitement.

Assertions Directive 95/46/CE Règlement 2016/679 Evolutions
Nécessité du consentement ?

Tout traitement de données à caractère personnel nécessite une base légale.

Le consentement est une base légale de traitement.

Considérant 30 et article 7a) Considérant 40 et article 6-1 =

Le consentement est la première base légale mentionnée dans les deux textes.

Cela ne signifie en rien que le consentement est la base légale « par défaut », ni qu’il s’agit de la « meilleure » base légale.

« Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi ».
Validité du consentement

Le consentement doit respecter certaines exigences afin d’être valable.

Article 2h) et 7a)

Manifestation de volonté, libre, spécifique, informée et indubitable.

Considérant 32 et articles 4-11, 6-1a) et 7

Acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord.

Le consentement exige une action positive claire de la personne concernée. Cela peut rendre l’obtention du consentement plus difficile et remet en cause certains cas dans lesquels un consentement pouvait être valable auparavant.

« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Consentement « donné librement »

Le consentement doit refléter un véritable choix de la personne concernée, effectué en toute liberté.

En cas de pression ou contrainte sur la personne concernée, le consentement donné pourra être remis en cause.

Article 2h)

La directive 95/46 prévoit bien que « le consentement doit être librement donné », mais ne précise pas le sens de cette exigence.

Considérants 32 et 43 et article 7-4

Si quelque chose souhaité par la personne concernée (produit/service) est subordonné au consentement, ce dernier pourra être remis en cause.

Il en va de même si le refus ou retrait du consentement fait peser sur la personne concernée des effets négatifs, ou s’il y a un déséquilibre entre le responsable de traitement et la personne concernée.

Tandis que la directive de 1995 ne fournit presque aucun renseignement sur la notion de « consentement libre »*, les définitions du RGPD rendent la démonstration d’un consentement valable bien plus difficile dans de nombreux cas : particulier VS administration, employé VS patron, consentement VS contrat, etc.

Dans certaines hypothèses, le recours au consentement doit être tout bonnement écarté.

*Avant l’entrée en vigueur du RGPD en 2016 le G29 avait commencé à clarifier la notion, notamment dans son avis 15/2011. Toutefois, bien que très importantes, les recommandations du G29 ne sont pas juridiquement contraignantes.

Consentement « spécifique »

Un consentement ne spécifiant pas le traitement pour lequel il est donné n’est pas valable.

 

Article 2h) Considérant 32 et article 6-1a) =

Comme le G29 a pu le préciser dans son avis 15/2011 précité, le consentement doit être intelligible.

La demande de consentement formulée par le responsable de traitement doit clairement et précisément en exposer la portée et les conséquences à la personne concernée.

Le consentement ne peut s’appliquer que dans un contexte spécifique, il ne peut être donné de manière indéfinie et illimitée.

« La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
Consentement « informé »

Afin qu’un consentement soit donné valablement, la personne concernée doit disposer d’informations suffisantes pour lui permettre de comprendre ce à quoi elle va consentir.

Considérant 25 et article 2h)

La directive de 1995 ne définit pas précisément ce terme.

Considérants 32 et 42 et articles 4-11 et 7-1

Le traitement objet du consentement doit être décrit à l’aide d’informations « aisément accessibles et formulées en des termes clairs et simples ».

« La personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel ».

Le RGPD implique une plus grande attention dans la rédaction des demandes de consentement et implique de bien définir à l’avance qui traitera les données et pourquoi (ce qui est problématique pour les data brokers).

En outre, s’il y a consentement à traiter des données c’est qu’il y a traitement de données. Il doit donc il y avoir une double couche d’informations : informations des articles 13 et 14 du RGPD + informations au titre du consentement.

Le silence ne vaut pas consentement

 

Si ce n’est pas clairement « oui », c’est « non » !

/

La directive 95/46/CE ne précise rien à ce sujet.

Considérant 32

« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Si la directive ne dit rien, le RGPD reprend et donne quant à lui force juridique aux recommandations du G29 (cf. avis 15/2011 précité).

La plupart des demandes de consentements par cases à cocher/décocher que l’on croise sur internet ne seront bientôt plus valables.

Consentement distinguable

 

Le consentement ne doit pas être noyé au sein d’autres demandes ou considérations.

/

La directive 95/46/CE ne précise rien à ce sujet.

Article 7-2

« Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions ».

Si la directive ne dit rien, le RGPD reprend et donne quant à lui force juridique aux recommandations du G29 (cf. avis 15/2011 précité).

Exit sans ambiguïté les consentements perdus au milieu de CGU/CGV.

Le consentement peut être retiré à tout moment

Un « non » annule immédiatement le « oui » ! Toutefois, ce n’est pas rétroactif.

/

La directive 95/46/CE ne traite pas spécifiquement ce point.

Considérant 42, 65 et article 7-3

« La personne concernée a le droit de retirer son consentement à tout moment (…). Il est aussi simple de retirer que de donner son consentement ».

Bien que la directive ne mentionne pas expressément le droit de retirer un consentement, cette aptitude s’est toujours déduite de la nature même de cette base légale.

Le RGPD formalise ce point et contraint au passage les responsables de traitements sur l’exercice de cette capacité de retrait (facile, rapide, sans conséquences négatives).

Le responsable de traitement doit être en mesure de prouver le consentement

Qui ne changerait pas d’avis après avoir reçu 68 emails en 2 jours ? Gare aux litiges !

/

La directive 95/46/CE ne traite pas spécifiquement ce point.

Considérant 42 et article 7-1

« (…) le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement ».

Le RGPD fait clairement reposer la charge de la preuve du consentement (et de son retrait) sur le responsable de traitement, ce qui peut causer une augmentation des coûts techniques et/ou administratifs.

Obtention du consentement

Aucune méthode n’est imposée par les textes.

/

La directive ne donne aucune information sur les modalités concrètes d’obtention d’un consentement.

Considérant 32

« (…) par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques (…) ».

+

Le RGPD reconnait spécifiquement la validité des méthodes de recueil du consentement les plus couramment utilisées et affirme que tous les outils et méthodes sont recevables du moment que les critères d’un consentement valable vus précédemment sont pris en compte.

Consentement et transferts de données hors U.E. Considérant 58 Considérant 111 et articles 49-1a) et 49-3 =

Pas de changement notable.

La directive et le RGPD évoquent le consentement en premier s’agissant des exceptions permettant les transferts de données en dehors des mécanismes spécifiquement prévus pour cela.

Le consentement n’est pas l’un de ces mécanismes, ce n’est donc pas une base légale particulièrement « forte » (cf. son positionnement avant les autres bases légales dans le texte).

Quid des consentements recueillis avant l’application du texte ?

C’est là que ça se gâte…

/

La directive 95/46/CE ne précise rien à ce sujet.

Considérant 171

« (…) il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme [au RGPD] ».

Dans de très nombreux cas, les consentements devront être demandés à nouveau en « mode RGPD ».

Pas le temps de tout lire ? Soumettez ce formulaire et repartez gratuitement avec l’étude au format PDF!

Oxalia Data Protection – Groupe 3X Consultants, responsable de traitement – met en œuvre un traitement de données à caractère personnel afin de mettre en œuvre des actions de prospection commerciale. Toutes les données demandées sont obligatoires et strictement nécessaires à la finalité indiquée. Le refus de communiquer tout ou partie de ces données entrainera le rejet de traitement du formulaire et l’impossibilité de vous faire bénéficier de l’étude sur le consentement. Les destinataires des données sont les personnels habilités de Oxalia Data Protection en charge du développement commercial. Vos données seront hébergées en France. Elles seront conservées jusqu’à 6 mois à compter du dernier contact émanant de votre part.

Vous disposez d’un droit d’accès, de rectification et d’opposition pour motifs légitimes relativement à l’ensemble des données vous concernant dans les conditions prévues par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Vous pourrez également vous opposer ultérieurement sans frais à ce que des données vous concernant fassent l’objet d’un traitement à des fins de prospection notamment commerciale par 3X Consultants. Vous pouvez exercer vos droits en vous adressant à 3X Consultants par email à data-protection@3xconsultants.com ou par courrier à destination du CIL de 3X Consultants au 7, Allée des Pionniers De L’Aéropostale, 31400 Toulouse en accompagnant votre demande de tout document d’identité signé.

« Consentement traitements de données » VS « Consentement relations sexuelles »

PRINCIPES RELATIONS SEXUELLES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
Le consentement doit être volontaire V Accepter par envie

X Céder face au chantage

V Refuser ce traitement entrainera l’indisponibilité de certaines fonctionnalités liées. En revanche les fonctionnalités de base demeureront disponibles.

X Refusez le moindre traitement de tracking ou profilage et vous ne pourrez pas utiliser notre réseau social.

Le consentement doit être clair V Enfin, tu te décides à me le demander!

X Oui un jour peut-être, qui sait ?

V Pour mettre en œuvre le service nous avons besoin de telle et telle données. Ces données seront utilisées pour ceci et pour cela.

X Cliquez-ici pour accepter nos 127 pages de CGV renvoyant vers 136 liens en anglais. Sinon passez votre chemin. Cordialement.

Le consentement doit émaner d’une personne en capacité de le donner V Tu n’as pas l’air dans ton état normal, on en reparle ok ?

X Non monsieur l’agent, je ne savais pas qu’elle faisait un coma éthylique.

V Notre réseau social est accessible dès 13 ans. Pour autant, jusqu’à 16 ans, l’accord d’un responsable légal est nécessaire. Cliquez-ici pour que nous demandions l’accord des personnes renseignées comme étant vos parents.

X On sait très bien que tu n’as que 12 ans, mais tu as choisi 1984 dans la liste déroulante alors c’est ok. Bienvenue mon gars!

Le consentement doit être spécifique V Bien sûr, rien que toi et moi, ce sera notre petit secret.

X Comment ça, bien sûr que je t’avais dit que le voisin participerait!

V En complément du service principal, acceptez-vous de recevoir des communications commerciales de notre part ? L’acceptez-vous également de la part de nos partenaires untel et untel ?

X En utilisant notre service, vous acceptez que nous traitions toutes vos données comme bon nous semble, avec qui bon nous semble. « Le client est roi » c’était ironique hein!

Le consentement est révocable à chaque instant V Ok, je vais (encore) dormir sur le canapé.

X Hé oh, devant le maire tu as dit oui pour la vie hein!

V Pour ne plus recevoir nos communications commerciales, cliquez-ici => Votre demande a été prise en compte et sera effective d’ici 24 heures.

X Pour ne plus recevoir nos communications commerciales, cliquez-ici => 404 ERROR.

Le consentement doit pouvoir être prouvé V ???? (Mais bon, si vous êtes amené(e)s à le prouver pour vous justifier, c’est que quelque chose cloche).

X Mais bien sûr qu’elle a dit oui! Croix de bois croix de fer, si je mens je vais en enfer.

V Voici les logs attestant du consentement des personnes concernées. Voulez-vous également voir les consentements obtenus par formulaires papier numérisés pour conservation et preuve ?

X Que je prouve le consentement ? Attendez de quel consentement on parle déjà ?

MAIS IL Y A DES DIFFÉRENCES MAJEURES
LE CONSENTEMENT DOIT ÊTRE SYSTÉMATIQUE. LE CONSENTEMENT NE DOIT PAS ÊTRE SYSTÉMATIQUE.

Les différents types de consentements

Les exemples de méthodes de recueil de consentements exposés ci-après sont abordés du strict point de vue du consentement. Ils n’intègrent notamment pas les informations complémentaires à fournir au titre des articles 13 et 14 du RGPD.

Le consentement « classique »

Ce consentement correspond à toutes les situations non spécifiques visées ci-après. Il pourrait être formulé de la façon suivante :

Dans cet exemple, la personne concernée vient de s’inscrire sur un site internet en vue d’accéder à différents outils ou services en ligne. Elle est donc identifiable par le responsable de traitement.

Le consentement des mineurs

Le RGPD prévoit des dispositions particulières en ce qui concerne le consentement des mineurs. Le considérant 38 du règlement dispose que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

Conformément à l’article 8 du RGPD, il est nécessaire de recueillir le consentement ou « l’autorisation du titulaire de la responsabilité parentale » pour les enfants âgés de moins de 16 ans[1] amenés à transmettre leurs données à caractère personnel dans le cadre de la fourniture de services en ligne, par exemple pour l’inscription sur un réseau social[2].

Cet article prévoit que les responsables de traitement doivent vérifier « que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».

[1] Le RGPD accorde une marge de manœuvre aux Etats-membres qui peuvent abaisser ce seuil jusqu’à 13 ans. La France, dans le projet de « loi Informatique et Libertés v3 » en cours au 24/01/2018, n’a pas encore abaissé le seuil.
[2] Toutefois le considérant 38 du RGPD prévoit une exception « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ».

Le consentement du titulaire de la responsabilité parentale d’une personne concernée mineure pourrait être recherché de la façon suivante :

Dans cet exemple, la personne mineure concernée est en train de s’inscrire sur un réseau social. Elle s’appelle Marie Dupont.

La procédure de vérification pourrait se poursuivre de la façon suivante, après que la personne désignée ait reçu un email la renvoyant sur l’interface d’inscription :

Le consentement des données particulières

L’article 9-1 du RGPD interdit le traitement des données particulières (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale, données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, données concernant la santé ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique) sauf exceptions prévues à l’article 9-2, la première étant le consentement.

Néanmoins le droit de l’Union ou des Etats-membres peuvent prévoir des exceptions à l’exception, ce qu’a fait le législateur français dans le projet de « loi Informatique et Libertés v3 » en cours (domaine médical notamment).

Le consentement de la prospection commerciale

Sous l’empire de la LIL, la CNIL considérait que les traitements de prospection commerciale devaient avoir pour base légale le consentement des personnes concernées, sauf exception. Ce consentement pouvait s’exprimer différemment selon que les personnes visées étaient des personnes physiques ou morales, des professionnels ou des particuliers. Sous l’empire du RGPD il est considéré que la base légale d’un traitement de prospection commerciale peut ne pas être le consentement[1].

Lorsque la base légale du traitement de prospection commerciale est bien le consentement, il convient d’étudier les notions d’opt-in et opt-out.

[1] L’article 7 de la loi « Informatique et Libertés » prévoyait déjà qu’un traitement de données à caractère personnel puisse être justifié par « la réalisation de l’intérêt légitime poursuivi par le responsable du traitement (…) sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ». Le texte ne précisait toutefois pas si ce cas était applicable à un traitement de prospection commerciale. Si a priori rien ne s’y opposait dans la loi, la doctrine constante de la CNIL a rapidement imposé un recours quasi-systématique au consentement de la personne concernée. En revanche le RGPD prévoit clairement que « le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime » (considérant 43).
Infographie explicative opt-in et opt-out :

Infographie des opt-in et opt-out autorisés avant le RGPD :

Infographie des opt-in et opt-out autorisés sous l’empire du RGPD :

Le respect de ces règles d’opt-in et opt-out remet en cause un certain nombre de pratiques courantes :

Le consentement des cookies

Il est prévu par la réglementation, sauf exception, que les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute tant que celui-ci n’a pas donné son consentement après avoir été dûment informé.

S’ils servent certaines finalités spécifiques, certains cookies peuvent être déposés ou lus sans recueillir un consentement préalable. Il s’agit des cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. Sont concernés par exemple :

  • Les cookies de « panier d’achat » pour un site marchand ;
  • Les cookies « identifiants de session », pour la durée d’une session, ou les traceurs persistants limités à quelques heures dans certains cas ;
  • Les cookies d’authentification de l’internaute ;
  • Les cookies persistants de personnalisation de l’interface utilisateur.[1]
[1] Délibération CNIL n°2013-378.
Le consentement cookies d’une personne pourrait être recueilli via un bandeau ou pop-up s’affichant immédiatement à l’affichage d’un site internet, application, etc. Dans cet exemple seuls les cookies obligatoires peuvent être déposés sur le terminal de la personne concernée tant que cette dernière n’a pas effectué de choix. La fenêtre pop-up ne peut être fermée qu’en effectuant un choix :

Les différents types de consentements

By | 2018-06-27T13:39:02+00:00 1 février 2018|Evènements|