RGPD : cela a déjà mal commencé

Ça commence mal pour le RGPD : depuis quelques jours, nous sommes tous inondés de mails pour recueillir notre consentement de la part de toutes sortes de sociétés avec qui nous avons ou avons eu un contact épisodique dans le passé.
Résultat: c’est à peine si on les ouvre encore et les plus courageux d’entre nous se rendent compte qu’il faut cliquer sur quelque chose pour que tout continue comme avant.
Par Charles Cuvelliez, Université de Bruxelles, JJ Quisquater, Université de Louvain

Sources : La Tribune.fr | Charles Cuvelliez | 29 mai 2018

C’est d’ailleurs un peu étonnant, car le RGPD dit bien que les consentements recueillis avant le 25 mai restent valides s’ils respectent l’essence du RGPD.
Résultat : les hackers en profitent pour lancer des campagnes de phising « RGPD » qui n’ont jamais été aussi efficaces.


Le consentement n’est pourtant qu’un des 6 raisons grâce à laquelle une entreprise peut traiter nos données.
Ce consentement doit être réversible et libre.
Il est libre si la personne concernée ne subit aucune conséquence négative en ne le donnant pas ou s’il peut le retirer quand il veut. L’entreprise ne peut pas influencer le consentement comme lier le consentement à la bonne exécution du service souscrit.
Si vous recevez une demande de consentement d’une administration, oubliez-le. C’est une erreur. Il n’est pas valide du fait du rapport de force avec le citoyen qui n’osera pas dire non.
Dans le cadre d’une relation, employé-employeur, même constat: votre patron ou votre entreprise ne peut pas vous demander votre consentement, car il n’est pas exempt de pression involontaire. Demander à vos employés s’ils veulent bien apparaître sur un film promotionnel qui sera tourné dans les bureaux et leur offrir la possibilité de travailler à un autre endroit en cas de réponse négative fera partie des rares exceptions acceptées.
Attention aussi de ne pas inclure le consentement dans le contrat commercial signé avec le client.
Il ne serait plus libre puisque le contrat dépend du consentement.
Ceci dit, on peut traiter de l’information personnelle pour exécuter ce contrat, comme avoir l’adresse du client pour pouvoir lui livrer ce qu’il commande.
Dans ce cas, le consentement n’est pas nécessaire. L’entreprise peut toutefois conditionner la fourniture de services en plus à la collecte et au traitement des données privées de ses clients, pour autant que le client a le choix entre les deux options, avec ou sans service en plus, donc avec ou sans consentement. Par contre, l’entreprise ne peut dire au client que s’il ne consent pas, il n’a qu’à aller chez un concurrent qui fournit le service de base qu’elle ne fait plus.
Cela signifierait que l’entreprise et le client doivent en permanence savoir ce que fait la concurrence.

Un consentement à tiroir

Il se peut aussi que l’entreprise qui vous fournit un service doive traiter des données privées de plusieurs types à plusieurs niveaux. Dans ce cas, le consentement doit être donnée pour chaque sous-traitement.
Un consentement tout-en-un n’est pas considéré comme donné librement, car la personne concernée n’est pas vraiment informée avec un consentement « fourre-tout ».
Un commerçant qui a vos données pour du marketing direct doit vous redemander votre consentement pour qu’un tiers, même une filiale, puisse exploiter vos données dans le même but.

Si vous retirez votre consentement, votre fournisseur ne peut pas vous en tenir rigueur.
Il ne peut pas mettre fin au service, mais il ne peut pas non plus le dégrader, vous facturer un coût supplémentaire. Par contre, si par le fait que vous ne donnez pas votre consentement, vous ne recevez moins de rabais intéressants par ce qu’on ne peut plus cibler ceux qui vous intéresse, on ne peut pas en tenir rigueur à l’entreprise.

Les mails qu’on reçoit contiennent une longue description de ce à quoi vous donnez votre consentement.
C’est normal : il ne faut pas qu’on donne son consentement pour un objectif vaguement décrit qui va ensuite évoluer dans le temps.
Les anciennes (depuis le 25 mai) directives sur la protection de la vie privée ont justement rendu la vie facile aux géants du net puisque le consentement ne devait pas être demandé à nouveau pour un traitement pas trop éloigné du but pour lequel le premier consentement avait été recueilli.
Un consentement doit s’accompagner de l’identité de l’entreprise qui vous le demande, le but du traitement, quel type de données sera collecté et utilisé, l’existence d’un droit de retirer son consentement, la possibilité d’un traitement automatisé de vos données qui aboutirait à une décision, la possibilité que les données soient transférées dans un pays tiers.

Moins simple à respecter sera l’exigence d’un langage clair, intelligible pour communiquer avec la personne concernée par le traitement de ses données privées.
Interdit donc de noyer tout ce qui concerne le traitement des données privées dans les conditions générales de vente.
La formulation doit s’adapter à son audience. Si des mineurs y sont, il faut adapter son message. Là où les mails reçus par nous tous qu’on reçoit sont déjà à la limite, c’est par rapport au format utilisé.
Le RGPD souhaite lorsque le consentement est demandé que le format de celui-ci s’adapte au moyen utilisé le donner. Un grand mail reçu sur un petit écran de smartphone n’est pas la panacée de ce point de vue.

Consentement explicite

L’acte de consentement doit être « physique ».
Précliquer « je consens » dans un formulaire qu’on vous soumet est illégal.
Quant à donner son consentement silencieux par défaut, à oublier !
Le mieux serait que le consentement interrompe l’utilisateur jusqu’au moment où il prend action.
Le consentement ne peut pas être demandé en cours de route.

Recueillir le consentement par téléphone est suffisant s’il est confirmé ensuite, par un email, par un bouton à presser.
La plupart des mails qu’on reçoit nous demande de cliquer sur un lien qui, une fois fait, nous dit que nous avons accepté…mais quoi ?
On est à la limite de l’explicite ; en fait, il faudrait par exemple qu’un deuxième mail de confirmation nous arrive pour éviter qu’un tiers ne se soit fait passer pour nous (validation en deux étapes).
Il y a une différence entre : j’ai compris que mes données vont être traitées pour…. et je suis d’accord (pas bon) et je consens à ce que mes données soient traitées pour…

Prouver le consentement

Bien évidemment, les entreprises doivent garder la trace du consentement et prouver au besoin, mais quand le traitement des données a pris fin, il ne faut pas non plus garde le consentement plus que de raison à moins de respecter une contrainte légale par rapport à une plainte par exemple

Détail amusant : il n’y a pas de date de péremption pour un consentement.
Sa durée est fonction du contexte, de l’étendue et des attentes de la personne concernée.

Retirer son consentement ne doit pas être rendu plus difficile que de le donner : si une méthode simple a été prévue pour donner le consentement, il faut que cette même méthode soit utilisée pour le retirer.

Comme on le sait, le consentement n’est qu’une des 6 justifications pour traiter des données personnelles.
Si on retire son consentement et que l’entreprise pense pouvoir utiliser une des autres raisons pour malgré tout continuer, il ne peut le faire à l’insu de la personne concernée.
Il doit l’en informer.
L’entreprise doit choisir : soit elle traite les données sur base du consentement, soit sur une autre base. On ne peut pas rétrospectivement utiliser une autre base que le consentement pour compenser un consentement qui aurait été retiré.

La recherche scientifique

Utiliser des données privées sans les rendre anonymes est parfois nécessaire pour la recherche scientifique. Souvent, d’autres procédures dans ce cadre demandent le consentement de l’utilisateur (enquêtes médicales). Pas de chance. Elles ne peuvent servir de consentement dans la cadre du GDPR. Le problème de la recherche scientifique et qu’on ne sait pas bien définir à quoi les données vont être utilisées sinon ce ne serait pas de la recherche au moment de la collecte.
L’idée est alors que redemander régulièrement le consentement au fur et à mesure qu’on y voit plus clair.
La description du but du traitement, parce que c’est de la recherche, peut aussi être plus vague.  Le retrait du consentement reste un must même s’il peut mettre en danger la recherche.

Comme on le voit, le consentement est devenu une science à part entière à partir d’aujourd’hui.
Le citoyen est bien en peine de vérifier si le consentement qu’on lui demande par mail depuis quelques jours est bien conforme….Cela commence mal, disions-nous…


Pour en savoir plus : Article 29 Working Party Guidelines on consent under Regulation 2016/679 Adopted on 28 November 201- As last Revised and Adopted on 10 April 2018