Le consentement est important pour la protection des données car il permet aux individus de contrôler la manière dont leurs informations personnelles sont collectées, utilisées et partagées - personne n'aime l'idée que quelqu'un d'autre puisse le surveiller ou traiter ses données personnelles sans son consentement !
Le consentement est essentiel dans le GDPR, c'est pourquoi nous en avons parlé dans notre blog il y a quelque temps. Nous avons également expliqué dans notre blog sur les bases juridiques que le consentement n'est pas, en principe, nécessaire pour traiter des données à caractère personnel dans le cadre du GDPR : il existe d'autres bases juridiques dans le GDPR1, chacune ayant ses propres cas d'utilisation et ses propres limites.
Le consentement est également facile à abuser: il n'est pas difficile de forcer ou de tromper quelqu'un pour qu'il accepte quelque chose qu'il ne veut pas. C'est pourquoi la législation sur la protection des données (et la législation en général) fixe des exigences spécifiques pour que le consentement soit valable.
Le GDPR ne fait pas exception. En vertu du GDPR, le consentement doit être librement donné, spécifique, éclairé et sans ambiguïté2. En outre, il doit être possible de retirer son consentement. Ces exigences sont très importantes dans la pratique !
- Les conditions du consentement
- Quand le consentement pose-t-il problème ? Quelques exemples
- Conclusion
Entrons dans le vif du sujet !
Les conditions du consentement
Libre consentement
En résumé, le consentement est donné librement lorsque la personne concernée a un véritable choix en la matière3. Ce n'est généralement pas le cas lorsqu'il existe un déséquilibre de pouvoir entre le responsable du traitement des données et la personne concernée.
Une relation de travail est un exemple classique de consentement contraint, car un employeur peut profiter de sa position pour faire pression sur un employé afin qu'il donne son consentement. En règle générale4, l'employeur ne peut pas traiter les données d'un employé sur la base d'un faux consentement et doit plutôt s'appuyer sur un autre fondement juridique.
L'autonomie individuelle est un problème juridique très ancien : les personnes peuvent être libres sur le papier tout en étant soumises à des pressions économiques, culturelles et sociales. La législation sur la protection des données ne fait pas exception à la règle et il existe donc une zone d'ombre concernant le consentement librement donné.
Spécifique
Le consentement est spécifique lorsqu'il est donné dans un but précis. Par exemple, vous ne pouvez pas demander un courriel pour fournir à votre public une lettre d'information et utiliser ensuite les données pour envoyer des promotions. Dans ce cas, vous devez recueillir deux consentements distincts, un pour chaque finalité.
Cette exigence va de pair avec celle du consentement éclairé et avec le principe de limitation de la finalité :
- lalimitation de la fin alité signifie que les données doivent toujours être collectées et traitées dans un but spécifique, explicite et légitime
- leconsentement éclair é signifie que le sujet doit savoir exactement ce à quoi il consent, y compris la finalité du traitement.
En connaissance de cause
Le consentement est éclairé lorsque la personne concernée reçoit certaines informations, notamment l'identité du responsable du traitement, la finalité du traitement, les types de données traitées, le droit de retirer son consentement et la question de savoir si les données seront communiquées à des tiers5.
L'article 13 joue également un rôle à cet égard. Cet article est une liste de blanchisserie d'informations qui doivent être fournies par le responsable du traitement, quelle que soit la base juridique sur laquelle il s'appuie. L'article 13 est la raison pour laquelle les politiques de protection de la vie privée sont longues et ennuyeuses.
Sans ambiguïté
Le consentement est sans ambiguïté lorsqu'il est donné par une action affirmative claire. En d'autres termes, le consentement implicite n'existe pas dans le cadre du GDPR. C'est pourquoi les systèmes d'opt-out ou les cases pré-cochées6 ne peuvent jamais être utilisés pour recueillir un consentement valable.
Le GDPR ne prescrit pas la manière dont le consentement doit être recueilli, pour autant que le consentement recueilli soit sans ambiguïté. La personne concernée peut signer un formulaire, cocher une case ou donner son consentement oral. Mais en règle générale, le responsable du traitement doit recueillir le consentement d'une manière qui puisse être documentée, car c'est à lui qu'il incombe de fournir la preuve du consentement7.
La notion de consentement sans ambiguïté recoupe celle de consentement explicite. Le consentement explicite peut être considéré comme une forme "renforcée" de consentement et fonctionne comme une exemption de règles spécifiques concernant le traitement de données sensibles, la prise de décision automatisée et les transferts de données. Tout consentement doit donc être sans ambiguïté, mais le fait qu'il soit également explicite n'a d'importance que dans des scénarios spécifiques.
En d'autres termes, la notion de consentement explicite n'est pas claire comme de l'eau de roche. Le consentement implicite n'est jamais valable, il est donc difficile de dire ce que signifie exactement "explicite" et en quoi le consentement explicite diffère du consentement non ambigu. Mais en règle générale, on peut considérer que le consentement explicite est un consentement sans ambiguïté.
Quand le consentement pose-t-il problème ? Quelques exemples
Le consentement groupé
Le "consentement groupé" est une situation malheureusement courante dans laquelle un client est contraint de consentir au traitement de ses données pour conclure un contrat, même si ce contrat ne nécessite pas réellement ce traitement. En d'autres termes, le traitement des données est "regroupé" avec le contrat, généralement sous la forme d'un paiement.
Pour être clair, vous pouvez recueillir le consentement au traitement des données dans le cadre d'un contrat8, que le traitement soit essentiel ou non au contrat. Le problème se pose lorsque vous exercez un chantage sur un client en faisant de ce consentement une rupture de contrat.
L'article 7 stipule que le consentement groupé est problématique en ce qui concerne le consentement. Malheureusement, l'article n'interdit pas totalement la pratique du consentement groupé, mais donne plutôt un avertissement ou un "carton jaune" en quelque sorte. La marge de manœuvre laissée par l'article permet aux entreprises de profiter de certaines zones grises. Par conséquent, certains services Internet utilisent encore le consentement groupé pour obtenir des données en guise de paiement, en particulier lorsqu'ils jouissent d'une position de monopole et n'ont que peu ou pas d'alternatives. D'un autre côté, les autorités de protection des données et les tribunaux peuvent appliquer l'article 7 de manière stricte - et nous espérons qu'ils le feront.
Murs de cookies
Les "murs de cookies" sont des fenêtres contextuelles mises en place par des sites web (généralement des organes de presse) pour empêcher l'utilisateur d'accéder à certains contenus s'il n'accepte pas l'utilisation de cookies.
Les visiteurs ont souvent la possibilité de refuser le traitement en échange d'un abonnement payant, ce qui leur offre trois possibilités : payer avec de l'argent, payer avec des données ou ne pas pouvoir accéder au contenu.
Les murs de cookies sont similaires au consentement groupé en ce sens qu'ils permettent à un responsable du traitement de collecter des données en guise de paiement pour un contenu. Cette pratique est compréhensible d'un point de vue économique : de nombreux utilisateurs ne sont pas disposés à payer mais acceptent les cookies, et les éditeurs ont besoin de revenus publicitaires pour fournir du contenu. Cependant, les données ne sont pas une marchandise au sens du GDPR, et il est possible d'affirmer que le consentement recueilli par les murs de cookies n'est pas donné librement.
En outre, l'éditeur peut également générer des revenus à partir de publicités non personnalisées basées sur le contenu des nouvelles, ce qui ne nécessite pas du tout le traitement de données à caractère personnel.
Conception trompeuse
La "conception trompeuse" ou "dark patterns" est la pratique qui consiste à concevoir des interfaces utilisateur peu claires ou trompeuses pour inciter un utilisateur à effectuer une action souhaitée, telle que l'achat d'un produit, le téléchargement d'un logiciel, l'abonnement à un service ou le consentement au traitement de données à caractère personnel.
La conception trompeuse est un problème particulièrement grave en ce qui concerne les bannières de cookies. Les bannières de cookies incitent souvent les utilisateurs à accepter les cookies sur leur navigateur ou leur appareil. Certaines rendent l'option "accepter" facilement accessible tout en rendant l'option "refuser" moins visible à l'écran, par exemple en utilisant une police plus petite ou une couleur qui ne se détache pas de l'arrière-plan. D'autres bannières proposent à l'utilisateur des choix déroutants tels que "accepter/gérer les préférences" ou "accepter/en savoir plus". L'utilisateur ne peut refuser le traitement qu'en cliquant sur la deuxième option et en désactivant manuellement l'option de traitement de tous les cookies non essentiels.
Le visiteur moyen de l'internet est confronté à d'innombrables bannières de ce type au cours de sa navigation. À un moment donné, de nombreux utilisateurs renoncent tout simplement à cliquer sur la fatigue et à accepter tous les cookies. Il est possible d'affirmer que le consentement recueilli par des bannières de cookies trompeuses n'est pas donné librement. Outre le consentement, on peut également affirmer que le traitement n'est ni équitable ni transparent9.
L'année dernière, le Conseil européen de la protection des données a mis en place un groupe de travail sur les bannières de cookies, en réponse aux nombreuses plaintes déposées par l'ONG noyb contre les bannières de cookies trompeuses. La dernière fois qu'un tel groupe de travail a été mis en place, Google Analytics a fini par être interdit dans plusieurs États membres de l'UE (nous avons écrit à ce sujet ici), ce qui laisse espérer une répression des bannières trompeuses à l'avenir.
Conclusion
Les exigences en matière de consentement visent à garantir que l'utilisateur contrôle ses données. Malheureusement, ce n'est souvent pas le cas. De nombreuses entreprises veulent collecter autant de données que possible et ignorent souvent les règles de protection des données ou trouvent des moyens astucieux de les contourner. Jour après jour, cet état d'esprit de thésaurisation et d'avidité de données transforme l'internet en une machine de surveillance.
Mais ce n'est pas une fatalité. Chez Simple Analytics, nous croyons en un World Wide Web convivial et respectueux de la vie privée. C'est pourquoi nous nous efforçons de fournir à nos clients des informations analytiques précieuses sans collecter de données personnelles auprès de l'utilisateur final. Cela allège la charge de conformité du client, rationalise la gouvernance des données et contribue à faire de l'internet un meilleur endroit. Si vous vous sentez concerné, n'hésitez pas à nous contacter.
1 : Art. 6 GDPR 2 : Art. 4 (11) DU RGPD 3 : Lignes directrices de l'EDPB 05/2020 sur le consentement en vertu du règlement 2016/679, par. 13. 4 : Les exceptions sont très limitées. Voir les lignes directrices de l'EDPB 05/2020 sur le consentement en vertu du règlement 2016/679, par. 22. 5 : Lignes directrices du WP29 sur le consentement en vertu du règlement 2016/679, par. 3.3.1. 6 : Voir CJUE - C-673/17 - Planet497 : Art. 5, paragraphe 2, et 24 du GDPR 8 : Pour être clair : dans ce scénario, le consentement est la base juridique du traitement, et non le contrat. Le consentement au contrat n'est pas la même chose que le consentement au traitement des données. Il convient également de noter que des règles formelles spécifiques s'appliquent dans ce scénario : voir l'article 7, paragraphe 2, du RGPD. 7(2) DU RGPD 9 : Article 5, paragraphe 1, point a), du RGPD. 5, paragraphe 1, point a), du RGPD.