RGPD  : cela a déjà mal commencé

 |   |  1418  mots
(Crédits : DR)
Ça commence mal pour le RGPD : depuis quelques jours, nous sommes tous inondés de mails pour recueillir notre consentement de la part de toutes sortes de sociétés avec qui nous avons ou avons eu un contact épisodique dans le passé. Résultat: c'est à peine si on les ouvre encore et les plus courageux d'entre nous se rendent compte qu'il faut cliquer sur quelque chose pour que tout continue comme avant. Par Charles Cuvelliez, Université de Bruxelles, et Jean-Jacques Quisquater, Université de Louvain

C'est d'ailleurs un peu étonnant, car le RGPD dit bien que les consentements recueillis avant le 25 mai restent valides s'ils respectent l'essence du RGPD. Résultat : les hackers en profitent pour lancer des campagnes de phising « RGPD » qui n'ont jamais été aussi efficaces.

Le consentement n'est pourtant qu'un des 6 raisons grâce à laquelle une entreprise peut traiter nos données. Ce consentement doit être réversible et libre. Il est libre si la personne concernée ne subit aucune conséquence négative en ne le donnant pas ou s'il peut le retirer quand il veut. L'entreprise ne peut pas influencer le consentement comme lier le consentement à la bonne exécution du service souscrit. Si vous recevez une demande de consentement d'une administration, oubliez-le. C'est une erreur. Il n'est pas valide du fait du rapport de force avec le citoyen qui n'osera pas dire non. Dans le cadre d'une relation, employé-employeur, même constat: votre patron ou votre entreprise ne peut pas vous demander votre consentement, car il n'est pas exempt de pression involontaire. Demander à vos employés s'ils veulent bien apparaître sur un film promotionnel qui sera tourné dans les bureaux et leur offrir la possibilité de travailler à un autre endroit en cas de réponse négative fera partie des rares exceptions acceptées. Attention aussi de ne pas inclure le consentement dans le contrat commercial signé avec le client. Il ne serait plus libre puisque le contrat dépend du consentement. Ceci dit, on peut traiter de l'information personnelle pour exécuter ce contrat, comme avoir l'adresse du client pour pouvoir lui livrer ce qu'il commande. Dans ce cas, le consentement n'est pas nécessaire. L'entreprise peut toutefois conditionner la fourniture de services en plus à la collecte et au traitement des données privées de ses clients, pour autant que le client a le choix entre les deux options, avec ou sans service en plus, donc avec ou sans consentement. Par contre, l'entreprise ne peut dire au client que s'il ne consent pas, il n'a qu'à aller chez un concurrent qui fournit le service de base qu'elle ne fait plus. Cela signifierait que l'entreprise et le client doivent en permanence savoir ce que fait la concurrence.

Un consentement à tiroir

Il se peut aussi que l'entreprise qui vous fournit un service doive traiter des données privées de plusieurs types à plusieurs niveaux. Dans ce cas, le consentement doit être donnée pour chaque sous-traitement. Un consentement tout-en-un n'est pas considéré comme donné librement, car la personne concernée n'est pas vraiment informée avec un consentement « fourre-tout ». Un commerçant qui a vos données pour du marketing direct doit vous redemander votre consentement pour qu'un tiers, même une filiale, puisse exploiter vos données dans le même but.

Si vous retirez votre consentement, votre fournisseur ne peut pas vous en tenir rigueur. Il ne peut pas mettre fin au service, mais il ne peut pas non plus le dégrader, vous facturer un coût supplémentaire. Par contre, si par le fait que vous ne donnez pas votre consentement, vous ne recevez moins de rabais intéressants par ce qu'on ne peut plus cibler ceux qui vous intéresse, on ne peut pas en tenir rigueur à l'entreprise.

Les mails qu'on reçoit contiennent une longue description de ce à quoi vous donnez votre consentement. C'est normal : il ne faut pas qu'on donne son consentement pour un objectif vaguement décrit qui va ensuite évoluer dans le temps. Les anciennes (depuis le 25 mai) directives sur la protection de la vie privée ont justement rendu la vie facile aux géants du net puisque le consentement ne devait pas être demandé à nouveau pour un traitement pas trop éloigné du but pour lequel le premier consentement avait été recueilli. Un consentement doit s'accompagner de l'identité de l'entreprise qui vous le demande, le but du traitement, quel type de données sera collecté et utilisé, l'existence d'un droit de retirer son consentement, la possibilité d'un traitement automatisé de vos données qui aboutirait à une décision, la possibilité que les données soient transférées dans un pays tiers. Moins simple à respecter sera l'exigence d'un langage clair, intelligible pour communiquer avec la personne concernée par le traitement de ses données privées. Interdit donc de noyer tout ce qui concerne le traitement des données privées dans les conditions générales de vente. La formulation doit s'adapter à son audience. Si des mineurs y sont, il faut adapter son message. Là où les mails reçus par nous tous qu'on reçoit sont déjà à la limite, c'est par rapport au format utilisé. Le RGPD souhaite lorsque le consentement est demandé que le format de celui-ci s'adapte au moyen utilisé le donner. Un grand mail reçu sur un petit écran de smartphone n'est pas la panacée de ce point de vue.

Consentement explicite

L'acte de consentement doit être « physique ». Précliquer « je consens » dans un formulaire qu'on vous soumet est illégal. Quant à donner son consentement silencieux par défaut, à oublier ! Le mieux serait que le consentement interrompe l'utilisateur jusqu'au moment où il prend action. Le consentement ne peut pas être demandé en cours de route.

Recueillir le consentement par téléphone est suffisant s'il est confirmé ensuite, par un email, par un bouton à presser. La plupart des mails qu'on reçoit nous demande de cliquer sur un lien qui, une fois fait, nous dit que nous avons accepté...mais quoi ? On est à la limite de l'explicite ; en fait, il faudrait par exemple qu'un deuxième mail de confirmation nous arrive pour éviter qu'un tiers ne se soit fait passer pour nous (validation en deux étapes). Il y a une différence entre : j'ai compris que mes données vont être traitées pour.... et je suis d'accord (pas bon) et je consens à ce que mes données soient traitées pour...

Prouver le consentement

Bien évidemment, les entreprises doivent garder la trace du consentement et prouver au besoin, mais quand le traitement des données a pris fin, il ne faut pas non plus garde le consentement plus que de raison à moins de respecter une contrainte légale par rapport à une plainte par exemple

Détail amusant : il n'y a pas de date de péremption pour un consentement. Sa durée est fonction du contexte, de l'étendue et des attentes de la personne concernée.

Retirer son consentement ne doit pas être rendu plus difficile que de le donner : si une méthode simple a été prévue pour donner le consentement, il faut que cette même méthode soit utilisée pour le retirer.

Comme on le sait, le consentement n'est qu'une des 6 justifications pour traiter des données personnelles. Si on retire son consentement et que l'entreprise pense pouvoir utiliser une des autres raisons pour malgré tout continuer, il ne peut le faire à l'insu de la personne concernée. Il doit l'en informer. L'entreprise doit choisir : soit elle traite les données sur base du consentement, soit sur une autre base. On ne peut pas rétrospectivement utiliser une autre base que le consentement pour compenser un consentement qui aurait été retiré.

La recherche scientifique

Utiliser des données privées sans les rendre anonymes est parfois nécessaire pour la recherche scientifique. Souvent, d'autres procédures dans ce cadre demandent le consentement de l'utilisateur (enquêtes médicales). Pas de chance. Elles ne peuvent servir de consentement dans la cadre du GDPR. Il. Le problème de la recherche scientifique et qu'on ne sait pas bien définir à quoi les données vont être utilisées sinon ce ne serait pas de la recherche au moment de la collecte. L'idée est alors que redemander régulièrement le consentement au fur et à mesure qu'on y voit plus clair.  La description du but du traitement, parce que c'est de la recherche, peut aussi être plus vague.  Le retrait du consentement reste un must même s'il peut mettre en danger la recherche.

Comme on le voit, le consentement est devenu une science à part entière à partir d'aujourd'hui. Le citoyen est bien en peine de vérifier si le consentement qu'on lui demande par mail depuis quelques jours est bien conforme....Cela commence mal, disions-nous...

____

Pour en savoir plus : Article 29 Working Party Guidelines on consent under Regulation 2016/679 Adopted on 28 November 201- As last Revised and Adopted on 10 April 2018

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 01/06/2018 à 20:51 :
LaTribune n'est pas conforme, comme tous les sites..
a écrit le 31/05/2018 à 20:12 :
J'ai rien signe, de toute façon' j'ai pas besoin d'eux.
Un choc par contre , l'administration fiscale pour mz déclaration d'impôts qui réclame à cor et à cris d'injecter leurs cookies verolees dans mon pc pour me laisserle droit de continuer sur leur site.
Ben non, une cookie c'est une agression vers un domaine qui doit rester privé.
a écrit le 31/05/2018 à 12:43 :
Et après on se plaint des votes populistes ! Tout ceci va enrichir encore plus les avocats et faire couler les petits acteurs européens du web. Les gros pourront franchir quant à eux cette nouvelle barrière à l'entrée réglementaire.

Vive le chômage et la pauvreté !
Réponse de le 31/05/2018 à 17:05 :
Ah ça nos dirigeants européens savent se placer on peut on moins leur reconnaitre mais ils ne savent faire que ça par contre.
a écrit le 31/05/2018 à 8:43 :
RGPD c'est encore une fois le triomphe de l'hypocrisie juridique. Des consentements pour se mettre à l'abri avec un simple clic accompagné de textes que personne ne lit sauf les maniaques ou les obsessionnels auxquels on donne la prime. Tout cela pour quoi? rien si ce n'est l'augmentation des contraintes juridiques et des coûts supplémentaires pour les collectivités et entreprises au seul bénéfice des juristes qui comme le disait feu Pierre Bourdieu sont avec les consultants les "parasites de la société"!
a écrit le 30/05/2018 à 10:21 :
la notion « de consentement « n’est pas intégré par «  les professionnels » qui ont porté ce projet?

Pourquoi c’est aux utilisateurs de donner un «  consentement » sur une base de règles non intégrées réellement par les utilisateurs?

c’est quoi «  un consentement » pour un pro du numérique ?

«  je propose une prestation, un produit, une information publique en format numérique et je m’engage à n’utiliser et stoker ou vendre ou acheter dans aucun cas les données personnelles de tous les utilisateurs sous peine de poursuite pénales »( obligation d’indiquer toutes les agences de l’entreprise dans le monde , téléphone et siège- adresse entière)

êtes vous d’accord en tant qu’utilisateur ?

un consentement à signer «  une fois » via l’opérateur et ce consentement est transportable sur tous les opérateurs ( sur contrat en noir et blanc et 3 exemplaires)

en cas , d’abus, et de non respect l’opérateur peut se retourner légalement et y compris les utilisateurs et n’importe ou dans le monde .


voilà , ce n’est pas compliqué , non ?

traduit en toutes les langues et applicable dans le monde entier.

il faudrait «  clarifier » aussi les effractions de certains services d’état qui piétinent la «  présomption d’innocence .

il faut aussi » des consentements » des utilisateurs dans ce cas , si l’opérateur ne prévient pas de cette action unilatérale , les utilisateurs ( abonnés) devraient avoir le droit d’ouvrir une procédure pénale pour préjudice morale d’infraction sans autorisation à leurs données personnelles

il faut «  des clarifications «  à ce sujet également.

admettons( exemple fictif)
«  un fonctionnaire d’état radicalisée  ou malade ( traumatisé )qui a accès à des fichiers :

comment protéger les données dans des fichiers ?

il faut «  des gardes fous » des contrôles en interne intense et surtout des formations psychologiques en interne , des formations non violence, formation civil et éthique, formation en communications...
a écrit le 29/05/2018 à 11:34 :
Bien bel article...
Mais où se trouvent votre politique d'utilisation des données personnelles ?

La RGPD, c'est ceux qui en parlent le plus, qui en font le moins...;-)
a écrit le 29/05/2018 à 11:34 :
Comment est-ce que le RGPD considère le carnet d'adresse d'un commercial (en B2B)? Est-ce la fin du métier de commercial chasseur? Car si il faut obtenir le consentement de quelqu'un pour le contacter... Et quelqu'un qui vous donne une carte de visite, faut-il aussi lui envoyer un email pour confirmer que l'on puisse conserver les données figurant sur la carte? C'est réellement n'importe quoi.C'est incroyable de ne pas avoir fait de différence entre les données réellement privées et les données professionnelles.
a écrit le 29/05/2018 à 8:56 :
Toutes les sociétés nous exposent des contrats de 3000 pages que nous validons systématiquement pour ne pas perdre de temps, du coup cela relativise puissamment cette notion de "consentement" perdue au final au sein d'une économie marchande plus proche de l'escroquerie généralisée que du service rendu.

Une usine européenne à gaz de plus, oui nous avons définitivement abandonné la high tech c'est un fait...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :