Professional Documents
Culture Documents
Livre Blanc RGPD
Livre Blanc RGPD
Le RGPD
en pratique
Votre recueil de consentement
est-il en règle ?
Introduction
Le Règlement Général sur la Protection des Données pour RGPD et en
anglais General Data Protection Regulation pour GDPR est un nouveau
règlement européen entré en vigueur en mai 2016, mais dont l’application a
été différée de deux ans, au 25 mai 2018.
Le RGPD concerne la réglementation des données à caractère personnel
(ou données personnelles parfois dans la suite de l’ouvrage) dans l’Union
européenne. Comme il s’agit d’un Règlement, il va s’appliquer directement
et automatiquement dans les 28 (et bientôt 27) États membres de l’Union à
la date du 25 mai 2018.
Nous avons voulu ici aider le lecteur dans ses analyses et au travers d’une
fiche de guidance pratique dédiée au consentement permettant à une
société de réaliser un traitement de données à caractère personnel et tirée
de l’ouvrage « Guide pratique du RGPD. Fiches de guidance » d’Axel
Beelen. Nous avons inclus dans cet ouvrage les dernières recommandations
officielles (dont celles notamment du Groupe de Travail « Article 29 »). Mais nul
doute que d’autres viendront encore.
2
ratique p
Le RGPD en
Dissipons aussi le brouillard qui entoure la question qui occupe les esprits
de tous les marketeers : pourrons-nous encore faire notre travail lorsque le
RGPD entrera en application en mai 2018 ?
Alex Beelen rappelle que le Règlement n’a jamais voulu empêcher les
activités des départements Marketing.
Non, le texte remet juste encore un peu plus le consommateur au centre
des débats (dans le driving seat comme on dit aussi). Ces données sont les
siennes. Elles sont relatives à sa personnalité. Le consommateur ne les a en
quelque sorte « prêtées » que temporairement à la société qui les a collectées.
Il n’a agi ainsi que pour des raisons particulières (des « finalités » dit le RGPD)
dont il devait être au courant lors de la collecte en question. Tant que le
département marketing informe et reste transparent sur les activités qu’il
réalise ou va réaliser au moyen des données collectées, il ne devrait y
avoir aucune raison de s’inquiéter.
Même des développements « Big Data » et de profilage pourront encore se
produire tant que ceux-ci ne restent pas cachés et sont expliqués.
3
ratique p
Le RGPD en
4
ratique p
Le RGPD en
À propos du Guide
Fiche de guidance
page suivante >>>
5
ratique
Fiche n°6
A. Introduction
Les six bases juridiques sont mentionnées à l’article 6 du RGPD (ce sont
à peu près les mêmes que celles qui existent dans la Directive 95/46/CE
du Parlement européen et du Conseil du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces données).
le traitement est nécessaire aux fins des intérêts légitimes poursuivis
par le responsable du traitement ou par un tiers, à moins que ne
prévalent les intérêts ou les libertés et droits fondamentaux de la
personne concernée qui exigent une protection des données à
caractère personnel, notamment lorsque la personne concernée est un
enfant. Les autorités publiques dans l’exécution de leurs missions ne
peuvent se prévaloir de cette base juridique.
6
ratique
Fiche n°6
p
Le RGPD en
Les exigences par rapport au consentement ont été renforcées par rapport
à la directive de 1995.
Toutefois, le fait que le RGPD ait mis en évidence très souvent le consentement
pour permettre des exceptions aux protections offertes par le Règlement
fragilise la protection que le texte octroie aux personnes concernées.
1. Libre
La personne concernée doit disposer d’une véritable liberté de choix :
elle doit être en mesure de refuser ou de retirer son consentement sans
subir de préjudice. Le consentement est présumé ne pas avoir été donné
librement si le consentement doit être donné en une fois à différentes
opérations de traitement des données à caractère personnel ayant
des finalités différentes. Dans cette hypothèse, plusieurs consentements
doivent être donnés séparément.
7
ratique
Fiche n°6
p
Le RGPD en
2. Spécifique
Le consentement peut être demandé pour plusieurs opérations à la
fois si ces différentes opérations ont comme objectif la même finalité.
A contrario, si un responsable du traitement désire traiter les données
collectées sur la base d’un consentement pour une autre finalité, il devra
redemander le consentement aux personnes concernées ;
3. Éclairé
Avant de donner son consentement, la personne concernée doit être
correctement informée sur, au moins, l’identité du responsable du
traitement et les finalités dudit traitement, les catégories de données
collectées, l’existence du droit de pouvoir retirer son consentement, sur
l’utilisation des données pour créer des décisions fondées uniquement sur
des traitements automatiques. De plus, si le consentement est en rapport
avec des transferts hors UE, il est nécessaire de fournir à la personne
concernée des informations sur les risques en cas de transferts vers des
pays qui ne bénéficient pas d’une décision d’adéquation ;
4. Univoque
Il ne faut pas qu’il y ait de doute sur le choix de la personne concernée ;
8
ratique
Fiche n°6
p
Le RGPD en
Exemple :
Une banque demande le consentement de ses clients dans le but de traiter
les détails de leurs paiements à des fins de marketing. Cette activité de
traitement n’est pas nécessaire à l’exécution du contrat qui lie la banque à
ses clients. Dans le cas où le refus de consentir par un client aurait comme
conséquence la fermeture de son compte, le refus de bénéficier de certains
services de la part de la banque ou à une augmentation des frais bancaires
qu’il doit payer à la banque, nous pouvons considérer que le consentement
comme base juridique n’est pas valable car il n’est pas donné librement.
C’est ce dernier point qui fait que, même s’il semble à première vue que le
consentement soit la base juridique la plus facile à obtenir, nous conseillons
aux sociétés d’analyser d’abord s’il n’est pas possible de réaliser le
traitement sur la base d’une autre base juridique de l’article 6 du RGPD
avant d’opter pour le consentement.
En effet, un consentement (qu’il soit explicite ou non) est précaire car il peut
être retiré à tout moment.
Le silence, l’inactivité ou une case cochée par défaut ne peut pas être
considéré comme un consentement valable au sens du RGPD puisque le
consentement suppose une démarche positive de la part de la personne
concernée.
9
ratique
Fiche n°6
p
Le RGPD en
C. Le consentement explicite
Dans le cas où une société entend traiter des données spéciales au sens
de l’article 9 du RGPD (données médicales par exemple), elle doit aussi
en avoir la base juridique adéquate. Le consentement explicite peut être
une de ces bases juridiques sauf si le droit de l’Union ou le droit de l’État
membre prévoit qu’il n’est pas possible de traiter ces données spéciales sur
la base de ce consentement explicite.
Ce sont aussi :
• les données génétiques ;
• les données biométriques aux fins d’identifier une personne physique
de manière unique ;
• des données concernant la santé ;
• des données concernant la vie sexuelle ou l’orientation sexuelle d’une
personne physique.
Les traitements des données de l’article 9 du RGPD sont aussi permis sous
d’autres conditions (article 9.2.b à 9.2.j du RGPD).
1. Règle générale
Selon l’article 22 du RGPD, la personne concernée a le droit de ne pas faire
l’objet d’une décision fondée exclusivement sur un traitement automatisé,
y compris le profilage, produisant des effets juridiques la concernant ou
l’affectant de manière significative de façon similaire.
11
ratique
Fiche n°6
p
Le RGPD en
2. Exceptions
En effet, la personne ne peut s’opposer à une telle décision purement
automatique lorsque la décision en question :
Le consentement d’un enfant n’est licite que si l’enfant est âgé d’au moins
16 ans.
Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que
si, et dans la mesure où, le consentement est donné ou autorisé par le
titulaire de la responsabilité parentale à l’égard de l’enfant.
Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités
pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. À voir
donc si la Belgique va activer cette option ou pas. Plusieurs pays comme
la Grande-Bretagne ou l’Irlande ont décidé d’ores et déjà d’activer l’option
pour descendre la limite d’âge à 13 ans tandis que la France gardera la
limite de 16 ans du RGPD et l’Espagne sa limite actuelle de 14 ans.
12
ratique
Fiche n°6
p
Le RGPD en
13
ratique
Fiche n°6
p
Le RGPD en
2. la personne concernée retire son consentement sur lequel est fondé le
traitement (autrement dit, pas d’effacement si pas de retrait en même
temps) ;
14
ratique
Fiche n°6
p
Le RGPD en