[data] RGPD-GDPR —> spécial traitement AVEC consentement (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 8 juillet 2017] Nous en avons presque terminé de l’étude de la GDPR-RGPD pour les entreprises. Il est temps de passer aux synthèses transversales par thème, celles qui vous permettront de vous y retrouver. Voici un numéro spécial autour de la notion de « consentement » avec un rappel de l’ensemble des obligations applicables aux traitements AVEC consentement. Si c’est la « base juridique » que vous souhaitez retenir pour votre traitement, c’est ici que ça se passe.


 

Il va falloir s’y faire, la collecte du consentement n’est pas la seule modalité de licéité d’un traitement de données [personnelles]. Il appartient au responsable de traitement de déterminer le fondement, pardon, les « bases juridiques » GDPR-RGPD de son traitement et d’en informer l’internaute. C’est obligatoire. Pour tous ses traitements. AVEC ou SANS consentement. 

Si le traitement est fondé sur une demande de consentement préalable (pour des finalités précises), toujours faut-il savoir ce que peut représenter un consentement valide au sens de la GDPR-RGPD.

« Il est aussi simple de retirer que de donner son consentement »

Ce principe posé tel quel par la GDPR devrait vous inciter à envisager sérieusement la gestion des demandes de retrait des internautes… Pour vos traitements en cours (ce sera « privacy by default« ) ou pour vos futurs traitements (là, ce sera « privacy by design » – dès la conception).

Vu l’importance du retrait du consentement, il faudrait peut être réfléchir à panacher les traitements « nécessaires à l’exécution du contrat » avec par ailleurs et en plus, pour d’autres finalités de traitement, une demande de consentement… Oui, je sais, ça va être lourd et compliqué…

« Mais Maître, vous vous rendez compte de ce que vous nous imposez !?! » (avec force cris et gesticulations). Sans rire… Vous croyez que c’est moi qui ait rédigé tout ce fatras ? Vous voulez savoir s’il va être nécessaire de faire évoluer vos traitements et votre SI (votre application peut être aussi, et surtout certaines de vos pratiques hummm commercialo-techniques…) ? Je ne suis que le messager (auquel on coupait parfois la tête en des époques Antiques ou Moyen-Âgeuses). Bonnes ou mauvaises, ce sont des obligations. Pensez les en termes de risques si cela peut vous soulager (nous sommes nombreux – déjà – à le faire…).

Conformité GDPR ? Un véritable avantage concurrentiel !

Arrêtez de voir le verre à moitié vide. Au contraire, considérez qu’il sera à moitié plein. A partir du moment où les règles du jeu seront les mêmes dans tous les pays de l’UE, prenez ces contraintes comme un véritable avantage concurrentiel. Pour vos clients par exemple. Si votre entreprise fait l’effort (certes obligatoire) de se mettre en conformité dès le 25 mai 2018, faites le savoir !

Aujourd’hui, l’enjeu est de regagner la confiance des consommateurs. Après 20 années d’abus en tout genre de la part des GAFA, il était tout de même temps de réagir, non ? 

Et pour celles et ceux qui ont bâti leur business dans les méandres d’une législation qui n’avait pas anticipé les traitements de [méta]données par des entreprises qui ne sont ni opérateurs télécom, ni FAI, il va falloir s’y faire. Sur ce point, si vraiment, vous voulez savoir POURQUOI cette législation sur la protection des données [personnelles], je vous renvoie sur mon analyse du « droit de la data » et sa mise en perspective avec l’évolution des communications électroniques (bientôt en ligne). En attendant le projet de Règlement « e-Privacy »…

Les collectes de données « BtoB »

Ahhhhhhhhh… les fameuses collecte de données dites « BtoB »… pour faire du mailing à des professionnels dans l’exercice de leurs fonctions… 

Vous avez utilisé les règles de la CNIL en France depuis 2005 ? Tant mieux. Parce que dès le 25 mai 2018, ça va disparaitre. Pour que ça change à l’avenir, prévoyez du lobbying directement à Bruxelles. Et rassurez-vous, vos concurrents aussi font la tête quand ils lisent ces lignes. Certains refusent d’ailleurs tout simplement d’y croire. Heureux les innocents, ils auront les mains pleines ? 

Le consentement des enfants

Bien entendu, la notion de consentement porte en germe ses propres restrictions. Vous ne serez pas surpris, en fin juriste que vous êtes, de (re)lire le principe selon lequel le consentement d’un mineur doit être donné par son représentant légal. Les juristes les plus pointus veilleront à réviser la notion d’acte « d’administration » autorisé pour les mineurs ne disposant pas – en principe – du droit de conclure un contrat (« acte de disposition »).

Les données sensibles et le consentement EXPLICITE

Je vous rappelle le principe : INTERDICTION de collecter des données sensibles. Sauf notamment consentement EXPLICITE. Pas juste un consentement : un consentement EXPLICITE. Bon, ça, c’est fait…

L’information obligatoire dans les traitements AVEC consentement

Ce n’est pas parce qu’une entreprise sollicite le consentement de ses clients/prospects (au hasard, hein ?) qu’elle est dispensée de son obligation d’information. Petit rappel sur ce qu’il faut dire ou écrire DE MANIERE OBLIGATOIRE (c’est écrit assez gros pour vous ?) aux personnes dont les données sont ou seront collectées. J’en profite pour vous rappeler que le responsable du traitement est tenu d’informer chaque personne du fondement juridique (les fameuses « bases juridiques du traitement« …) au titre duquel il assure cette collecte. Il s’agit donc de ne pas se rater…

Le principe de responsabilité des prestataires qui traitent des données AVEC consentement

Il appartient à tout responsable de traitement de prouver qu’il respecte les principes de la GDPR. Dans l’hypothèse des traitements AVEC demande de consentement, il appartient en plus aux responsables de traitement de prouver que la collecte de ce consentement est conforme aux exigences de la GDPR. Notamment la manière dont le consentement a été collecté. C’est le fameux principe « d’accountability » qui fait tant rigoler les juristes français, aliments, italiens, espagnols, belges, etc. Car dans les pays de droit écrit (qui codifient leurs lois, à la différence du Royaume Uni), lorsqu’une personne est responsable de quelque chose, elle en est responsable ! Outre-Marche, il faut apparemment détailler ce que veut dire « être responsable ». Oui, j’ose l’écrire, l’UE à 27 membres, ça va mieux marcher. 

Les sanctions du non respect de la GDPR

Impossible de faire l’impasse sur ce point. Si, curieusement, les obligations relatives à la collecte du consentement des mineurs (article 8 GDPR) ne sont sanctionnées que par l’amende au format « 10 millions / 2% CA mondial« , de manière plus large, les obligations fixées à l’article 7 GDPR relèvent du format « 20 millions / 4% CA mondial« .

Vous étiez tenté de réfléchir au sujet du jour en termes de risque, c’est bien cela ? Oui, franchement, comme j’ai eu l’occasion récemment de le rappeler à un professionnel du marketing BtoB, il va falloir envisager de re-qualifier vos bases de données [personnelles]. Et oui, cela va vous prendre du temps et vous coûter de l’argent. Et votre base de données va se rétrécir au départ… Jusqu’à ce que les consommateurs prennent l’habitude de bénéficier des droits GDPR. Et qu’ils soient effrayés lorsque un professionnel tentera de s’en affranchir et essaiera de faire « comme avant la GDPR« …

Vous êtes un professionnel du traitement de la data et vous en croyez pas aux obligations GDPR (discours qui se répand à nouveau) ? Et bien, attendez qu’un de vos concurrents se fasse allumer par une Autorité de contrôle. Ou mieux, pensez à changer de métier. Parce que les premiers à sa faire attraper par une CNIL vont « prendre cher » pour utiliser une expression (élégante) aujourd’hui à la mode… 


Encore une fois merci à Fabrice Lebeault pour son autorisation d’utiliser ses dessins et de modifier certains phylactère des 5 premiers tomes de son « Horologiom« . Ce merci vaut bien évidemment aussi pour la Team « licensing » des éditions Delcourt, Lucie Massena et Sébastien Le Foll, qui, sans relâche, relisent et valident mes présentations.