Retour à la liste des actualités

RGDP/GDPR Focus 2

Publié le jeudi 16 novembre 2017

Après l’analyse de l’obligation technique de sécurité, la seconde présentation *** FOCUS *** est l’occasion de faire un point détaillé sur la notion de consentement GDPR,  afin de vous permettre de « rentrer » sérieusement, par touches successives, dans la GDPR / RGPD.

Un partenariat « technique + juridique »

Voila des semaines que je me tue à dire que, nous les juristes, nous ne pourrons pas tout faire pour nos clients qui cherchent à se mettre en conformité avec la GDPR. D’ou l’idée de ce partenariat avec un professionnel du logiciel. Nous, les juristes, nous épluchons la GDPR dans ses moindres arcanes, et l’équipe de Alter Defence & Security développe un logiciel permettant (dans un premier temps) de faire un état des lieux de la « compliance » du SI et des traitements de données de l’entreprise / personne publique. Ce logiciel, ce sera Alter Privacy Solutions.

La solution logicielle Alter Privacy Solutions

Ce logiciel vous permettra (par la suite) de mettre en oeuvre un processus complet de certification au sens de l’article 42 GDPR, sous le contrôle de la CNIL. Afin de bénéficier (enfin) de la présomption de strict respect des règles, nombreuses et compliquées, de la GDPR / RGPD. Vous allez pouvoir respirer, face à un niveau de risque de sanction jusque là inédit.

C’est terminé pour la case pré-cochée ou le « bandeau cookie » parfaitement incompréhensible (alors, si je dis OK, mes données sont traitées ? mais si je poursuis ma navigation, j’accepte quelque chose ? Bon, c’est une demande de consentement ou un roman ? Et puis, c’est qui qui traite mes données ? etc.).

Le principe imposé par la GDPR / RGPD est simple : 1 consentement = 1 action positive (volontaire / active / manuelle / etc.). Un vrai consentement, quoi. Pas un consentement présumé… Et vous allez voir, ça arrive via le Règlement « e-Privacy », les règles vont être très, TRES claires sur l’utilisation des capacités de traitement / de stockage des terminaux des internautes. Comme les règles relatives aux information émises / transmises par ces mêmes terminaux. D’ailleurs, c’est précisé dans le projet « e-Privacy » : le « consentement e-Privacy » = le « consentement GDPR ».

Il faut informer la personne concernée de la finalité du traitement pour lequel le responsable du traitement demande le consentement. Le contenu de l’obligation d’information fait l’objet du consentement.

L’internaute doit être « conscient de la portée » du consentement qu’il donne. Ce sont les « considérant » qui le disent. Il va donc falloir l’expliquer à une Autorité de contrôle en cas de conflit soulevé par un internaute que votre entreprise a tout bien fait… Puis il faudra ensuite convaincre un juge si la décision de la CNIL ne vous plait pas. Vous pouvez aller jusqu’à la Cour de Justice de l’Union Européenne pour cela… Franchement, vous pouvez faire plus simple (c’est ce que demande la GDPR d’ailleurs) : exposez clairement aux internautes pourquoi vous collectez et ce que vous allez faire des données. Ce n’est pas compliqué, c’est juste un changement d’habitude.

Si à l’occasion du consentement demandé, le responsable du traitement sollicite une collecte trop importante (non justifiée) de données [personnelles], le caractère excessif de la quantité de données risque de rendre nul le consentement obtenuQui trop embrasse, mal étreint. Et si la collecte est excessive, c’est tout le traitement qui risque de devenir illicite. Illicite ? ça veut dire susceptible de faire l’objet de sanctions pécuniaires décidées par l’Autorité de contrôle (la CNIL en Molière dans le texte).

Alors, lors de la définition  de la liste détaillée des informations collectées pour le traitement dont on demande le consentement à l’internaute, on réfléchit à une liste limitée aux seuls informations pertinentes. Un exemple ? Pour vendre des chaussures en ligne, la pointure, le poids, l’âge et le sexe de l’acheteuse/acheteur sont manifestement des données pertinentes pour le site de e-commerce. Mais pas les préférences politiques, religieuses ou sexuelles de l’acheteuse/acheteur. Ce n’est qu’un exemple imaginaire, bien entendu.

« Il est aussi facile de retirer que de données son consentement« . Je cite la GDPR / RGPD, parfois d’une clarté singulière. C’est ça, le « droit de retrait » : à tout moment, gratuit, facile, immédiat et bien entendu, sans justification aucune. Pour une version édulcorée de cette analyse, regardez les (nombreux) consentements que vous-même avez donnés en ligne sur le fondement de la Directive 95/46… Depuis toutes ces années que vous utilisez les réseaux de communications électroniques. (c’est effrayant… je parle comme un Règlement UE à force de lire cette littérature…)

L’entreprise qui collecte et traite des données personnelles DOIT informer au préalable la personne dont elle collecte les données. Et c’est à l’entreprise de prouver qu’elle respecte cette obligation. Et dans la liste des informations à communiquer à l’internaute (puisqu’on souhaite son consentement), il y a déjà le fait qu’il s’agit d’un traitement avec demande de consentement préalable.

Et si traitement avec demande de consentement préalable il y a, il faut préciser à l’internaute si la collecte est faite « en direct » pour celui qui collecte, ou s’il fait une collecte indirecte, « pour le compte de celui qui achètera le fichier qualifié« . « qualifié » en terme marketing, ça s’appelle « profilé » en terme juridique. Et le profilage, c’est très règlementé dans la GDPR / RGPD.

ATTENTION, la GDPR / RGPD est limpide sur ce point. Les entreprises ont 2 ans (à compter du 25 mai 2016 – je répète : deux-mille-SEIZE) pour convertir le consentement « modèle Directive 95/46 » en « consentement GDPR« . Il suffit d’aller lire les « considérant » (le n°171 de mémoire… je triche… j’ai le texte sous les yeux…). Sinon ? Si le consentement « ancien » n’est pas conforme à celui imposé par la GDPR / RGPD ? Moi, à la place de la CNIL, je dirai que le consentement n’est pas valable. Et donc que le traitement est alors illicite.

 

Partager :