Considération particulière du consentement comme base du traitement
Home » Géolocalisation » Saisir les opportunités – compréhension de l’entreprise et plan de protection des données » Considération particulière du consentement comme base du traitement

Le consentement n’est pas toujours la base juridique qui légitime le traitement des données, comme exprimé précédemment. Toutefois, il ne s’agit pas des situations les plus courantes. Au contraire, le projet de règlement “vie privée et communications électroniques”[1] considère le consentement comme la principale base légale du traitement des données dans le contexte des communications électroniques. Toutefois, le consentement ne s’appliquera que si certaines conditions sont remplies. Si le consentement est utilisé comme base légale pour le traitement des données, les développeurs doivent s’assurer que leur dispositif inclut la nécessité d’obtenir le consentement des utilisateurs pour le traitement de manière informée et granulaire et la documentation de ce consentement. En outre, ce consentement doit être correctement accrédité.

Il doit être parfaitement clair que le consentement de la personne concernée ne peut pas être obtenu librement par l’acceptation obligatoire de conditions générales ou par des possibilités d’exclusion.[2] L’approche doit être granulaire. D’autre part, les paramètres par défaut d’un système d’exploitation devraient garantir que les services de localisation sont désactivés (OFF), et les utilisateurs peuvent consentir explicitement à l’activation (ON) d’applications spécifiques. En outre, “il est important de faire la distinction entre le consentement à un service ponctuel et le consentement à un abonnement régulier. Par exemple, afin d’utiliser un service de géolocalisation particulier, il peut être nécessaire d’activer les services de géolocalisation dans l’appareil ou le navigateur. Si cette capacité de géolocalisation est activée, chaque site web peut lire les données de localisation de l’utilisateur de cet appareil mobile intelligent. Afin de prévenir les risques de surveillance secrète, l’ancien groupe de travail Article 29 considère qu’il est essentiel que le dispositif prévienne en permanence que la géolocalisation est activée, par exemple au moyen d’une icône visible en permanence. [3]

Enfin, et c’est important, l’ancien groupe de travail Article 29 a recommandé que les fournisseurs d’applications ou de services de localisation cherchent à renouveler le consentement individuel (même lorsqu’il n’y a pas de changement dans la nature du traitement) après une période de temps appropriée. Par exemple, il ne serait pas valable de continuer à traiter des données de localisation lorsqu’une personne n’a pas utilisé activement le service au cours des 12 mois précédents. Même lorsqu’une personne a utilisé le service, il convient de lui rappeler au moins une fois par an (ou plus souvent lorsque la nature du traitement le justifie) la nature du traitement de ses données personnelles. Ainsi, le développeur pourrait envisager la possibilité d’incorporer dans le dispositif ou le système un outil électronique capable d’envoyer une demande à l’utilisateur afin de (re)gagner (ou non) son consentement pour poursuivre le traitement. Toutefois, il s’agit davantage d’une recommandation que d’une exigence légale.

Le consentement général peut être acceptable, mais uniquement si certaines circonstances concrètes s’appliquent, par exemple : il est difficile ou improbable de prévoir comment ces données seront traitées à l’avenir ; le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales ; lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches ou à certaines parties de celles-ci. En outre, certaines garanties doivent être mises en œuvre.

Encadré 3 : Consentement général et garanties supplémentaires

L’autorité allemande de protection des données a récemment dressé une liste de garanties supplémentaires à mettre en œuvre en cas de consentement général.[4] Il s’agit de :

1. Garanties pour assurer la transparence :

  • Utilisation de règlements d’utilisation ou de plans de recherche qui illustrent les méthodes de travail prévues et les questions qui doivent faire l’objet du projet de recherche.
  • Évaluation et documentation de la question de savoir pourquoi, dans ce projet de recherche particulier, une spécification plus détaillée des finalités de la recherche n’est pas possible.
  • Mettre en place des présences sur le web pour informer les participants à la recherche sur les études en cours et futures.

2. Des garde-fous pour instaurer la confiance :

  • Vote positif d’un comité d’éthique avant l’utilisation des données à des fins de recherche ultérieure.
  • Évaluation de la possibilité de travailler avec un consentement dynamique ou de la possibilité pour une personne concernée de s’opposer avant que les données ne soient utilisées pour de nouvelles questions de recherche.

3. Garanties de sécurité :

  • Aucun transfert de données vers des pays tiers dont le niveau de protection des données est inférieur.
  • Mesures supplémentaires concernant la minimisation des données, le cryptage, l’anonymisation ou la pseudonymisation.
  • Mise en œuvre de politiques spécifiques pour limiter l’accès aux données personnelles.
Encadré 4 : Exemple de bonnes pratiques pour les fournisseurs d’applications de géolocalisation selon l’ancien groupe de travail Article 29-[5] :

Une application qui souhaite utiliser des données de géolocalisation informe clairement l’utilisateur des finalités pour lesquelles elle veut utiliser les données, et demande un consentement sans ambiguïté pour chacune des finalités éventuellement différentes. L’utilisateur choisit activement le niveau de granularité de la géolocalisation (par exemple, au niveau du pays, de la ville, du code postal ou aussi précisément que possible). Une fois le service de localisation activé, une icône est visible en permanence sur chaque écran indiquant que les services de localisation sont “activés”. Les utilisateurs peuvent retirer leur consentement en permanence, sans avoir à quitter l’application. Les utilisateurs peuvent également supprimer facilement et définitivement toutes les données de localisation stockées sur l’appareil.

Liste de contrôle : consentement

☐ Les responsables du traitement sont en mesure de démontrer que, après avoir mis en balance les circonstances du traitement, ils ont conclu que le consentement est la base juridique la plus appropriée pour le traitement.

☐ Les responsables du traitement demandent le consentement des personnes concernées de manière libre, spécifique, informée et non équivoque, conformément à l’article 7 du RGPD.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment.

☐ Le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales.

☐ Lorsque le consentement général est utilisé, le responsable du traitement est particulièrement conscient que les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci.

☐ Les responsables du traitement ont une relation directe avec le sujet qui fournit les données.

☐ Le déséquilibre des pouvoirs entre les responsables du traitement et les personnes concernées ne fait pas obstacle au libre consentement. Ceci est particulièrement important dans certains contextes tels que le cadre du travail.

☐ Les contrôleurs demandent aux personnes de s’inscrire activement.

☐ Lescontrôleurs n’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut.

☐ Les contrôleurs utilisent un langage clair et simple, facile à comprendre.

☐ Les responsables du traitement précisent pourquoi ils veulent les données, ce qu’ils vont en faire et pendant combien de temps les données seront traitées.

☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement.

☐ Les responsables du traitement établissent un lien entre les données ou les catégories de données qui seront traitées pour chaque finalité.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment et de la manière de le faire.

☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de consentir sans que cela ne porte atteinte à leur accès au service.

☐ Les contrôleurs évitent de faire du consentement une condition préalable à un service.

 

  1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  2. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf.
  3. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf.
  4. DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. avril 2019, à l’adresse : www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consulté le 20 mai 2020). La traduction anglaise provient d’un beau résumé des mesures qui peut être consulté ici : www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/.
  5. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 15, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf.

 

Aller au contenu principal