RGPD Spécial consentement (4/5) : Que change le RGPD ?

Le RGPD n’a pas modifié substantiellement la notion de consentement. Il a en revanche clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :

• Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).

• Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Pour ce faire, les responsables du traitement doivent documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer :

• la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre »)
• la séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité du consentement »)
• la bonne information des personnes (consentement « éclairé »)
• le caractère positif de l’expression du choix de la personne (consentement « univoque »)

Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.

Le RGPD prévoit des conditions particulières de consentement pour certaines situations :

• Consentement des mineurs : pour les services de la société de l’information (réseaux sociaux, plateformes, newsletters, etc.), le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite, par principe, que si l’enfant est âgé d’au moins 16 ans.

Lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Le RGPD permet aux Etats membres de faire varier cet âge, en dessous duquel le consentement doit être donné par les parents, entre 13 et 16 ans.

En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.

• Consentement explicite : dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.

Il s’agit des cas où il existe un risque sérieux sur la protection des données et qui nécessitent un plus haut degré de contrôle de l’individu : il est par exemple exigé pour le traitement des données sensibles ou pour permettre la prise de décision entièrement automatisée.

Pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :

• prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles
• demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données
• recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement

[lire la suite]

RGPD Spécial consentement (1/5) : Qu’est-ce que le consentement ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

RGPD Spécial consentement (4/5) : Que change le RGPD ?

RGPD Spécial consentement (5/5) : Le consentement doit-il être à nouveau recueilli avec le RGPD ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

1. Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

 

2. Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

 

3. Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

• l’identité du responsable du traitement ;
• les finalités poursuivies ;
• les catégories de données collectées ;
• l’existence d’un droit de retrait du consentement ;
• selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

4. Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

• les cases pré-cochées ou pré-activées
• les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
• l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

[lire la suite]

RGPD Spécial consentement (1/5) : Qu’est-ce que le consentement ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

RGPD Spécial consentement (4/5) : Que change le RGPD ?

RGPD Spécial consentement (5/5) : Le consentement doit-il être à nouveau recueilli avec le RGPD ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

Le consentement des personnes doit-il être systématiquement recueilli ?

Non : le consentement est l’une des 6 bases juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.

Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, comme par exemple l’exécution d’un contrat ou leur intérêt légitime. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement concerné.

En revanche, le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel…[lire la suite]

RGPD Spécial consentement (1/5) : Qu’est-ce que le consentement ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

RGPD Spécial consentement (4/5) : Que change le RGPD ?

RGPD Spécial consentement (5/5) : Le consentement doit-il être à nouveau recueilli avec le RGPD ?

RGPD : Comment remplir le registre CNIL ?

Le principe d’accountability est la responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (= documenter la conformité). Tout au long du processus de traitement des données, le responsable du traitement devra non seulement garantir mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard des finalités du traitement et des risques inhérents au traitement.

Vous devrez renseigner notamment :

Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Exemple : pour une activité « formation des personnels » : suivi des demandes de formation et des périodes de
formation effectuées, organisation des sessions et évaluation des connaissances.

Catégories de personnes concernées
Listez les différents types de personnes dont vous collectez ou utilisez les données.
Exemples : salariés, usagers, clients, prospects, bénéficiaires, etc.

Catégories de données collectées
Listez les différentes données traitées
Etat-civil, identité, données d’identification, images (nom, prénom, adresse, photographie, date et lieu
de naissance, etc.)
Vie personnelle (habitudes de vie, situation familiale, etc.)
Vie professionnelle (CV, situation professionnelles, scolarité, formation, distinctions, diplômes, etc.)
Informations d’ordre économique et financier (revenus, situation financière, données bancaires, etc.)
Données de connexion (adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
Données de localisation (déplacements, données GPS, GSM, …)
Internet (cookies, traceurs, données de navigation, mesures d’audience, …)

• Contrôle d’accès des utilisateurs ;
• Mesures de traçabilité Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation ;
• Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)
• Sauvegarde des données ;
• Chiffrement des données (exemple : site accessible en https, utilisation de TLS, etc.);
• Contrôle des sous-traitants ;
• Autres mesures.

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

 

---

Réagissez à cet article

---

 

RGPD Spécial consentement  (1/5) : Qu’est-ce que le consentement des personnes ?

RGPD Spécial consentement (1/5) : Qu’est-ce que le consentement ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

RGPD Spécial consentement (4/5) : Que change le RGPD ?

RGPD Spécial consentement (5/5) : Le consentement doit-il être à nouveau recueilli avec le RGPD ?

Un organisme présidé par le maire d’une commune sanctionné par la CNIL

C’est une première. Le 31 juillet, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 30 000 euros à Archipel Habitat, l’office HLM de la métropole de Rennes présidé par la maire (PS) de la ville, Nathalie Appéré. Le gendarme des fichiers lui reproche d’avoir adressé à ses locataires une lettre au ton trop critique à propos de la décision du gouvernement de réduire les aides personnalisées au logement (APL) et les loyers des organismes HLM.

« Après une première baisse de 5 euros par mois, le gouvernement vient d’annoncer son intention de diminuer, dès le 1er janvier 2018, de 60 euros par mois en moyenne les APL des locataires du parc social. Cette mesure est injuste car elle vise exclusivement les personnes logées dans le parc social et marque ainsi une vraie rupture d’égalité au sein de la population », écrivait Mme Appéré aux 12 500 locataires – dont ceux qui ne perçoivent pas d’APL –, le 9 octobre 2017.

Elle ajoutait : « Compensée par une diminution des loyers, cette orientation, si elle devait se mettre effectivement en œuvre, aurait des répercussions terribles sur la qualité de votre cadre de vie. » Pour Archipel Habitat, cette ponction de l’Etat se chiffre à plus de 7 millions d’euros, soit 12 % de ses loyers, donc de sa capacité à construire et rénover….[lire la suite]

Facebook : le RGPD fait fuir les utilisateurs européens par millions

Après le RGPD, la nouvelle loi Informatique et Libertés

La nouvelle loi Informatique et Libertés permet l’application effective des textes européens, qui représentent un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.

Elle dote notamment la CNIL des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs.

Elle organise l’articulation nécessaire des procédures internes de la CNIL aux nouveaux mécanismes de coopération européenne.

Elle exerce certaines des « marges de manœuvre nationales » autorisées par le RGPD, transpose en droit français la Directive « police-justice » et modifie certaines de ses dispositions pour les rapprocher de la lettre du RGPD.

La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national. Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale. Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et libertés reste en vigueur et vient compléter le RGPD : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc. Enfin, la loi nationale reste pleinement applicable pour tous les fichiers « répressifs », qu’il s’agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l’Etat. De nombreuses dispositions spéciales sont prévues en ces matières…[lire la suite]

RGPD : « Le 25 mai 2018 est passé. Est-ce qu’il est trop tard ?

2 Applications mobiles mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire

La CNIL a contrôlé les traitements de données mis en œuvre par les sociétés FIDZUP et TEEMO qui ont recours à des technologies permettant de collecter des données personnelles via les smartphones, et de réaliser des campagnes publicitaires sur les mobiles.

Ces sociétés ont recours à des outils techniques dénommés « SDK ». Ces outils sont  intégrés dans le code d’applications mobiles de leurs partenaires. Ils leur permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

S’agissant de la société TEEMO, ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

La société FIDZUP, quant à elle, installe un « SDK » au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « FIDBOX » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP.

Un manquement à l’obligation de recueil du consentement

Les sociétés TEEMO et FIDZUP indiquent traiter ces données avec le consentement des personnes concernées.

Toutefois, les vérifications de la CNIL ont conduit à relever que le consentement n’est pas recueilli comme la loi l’exige.

En effet, tout d’abord, concernant la société TEEMO, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un « SDK » permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré.

S’agissant de la société FIDZUP, il ressort des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Par ailleurs, concernant ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables : l’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.

Enfin, la CNIL a constaté que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les « SDK ».

Au regard de ce qui précède, les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte d’ailleurs les exigences applicables au consentement…[lire la suite]