Le consentement n’est pas toujours la base juridique qui légitime le traitement des données, comme exprimé précédemment. Toutefois, il ne s’agit pas des situations les plus courantes. Au contraire, le projet de règlement “vie privée et communications électroniques”[1] considère le consentement comme la principale base légale du traitement des données dans le contexte des communications électroniques. Toutefois, le consentement ne s’appliquera que si certaines conditions sont remplies. Si le consentement est utilisé comme base légale pour le traitement des données, les développeurs doivent s’assurer que leur dispositif inclut la nécessité d’obtenir le consentement des utilisateurs pour le traitement de manière informée et granulaire et la documentation de ce consentement. En outre, ce consentement doit être correctement accrédité.
Il doit être parfaitement clair que le consentement de la personne concernée ne peut pas être obtenu librement par l’acceptation obligatoire de conditions générales ou par des possibilités d’exclusion.[2] L’approche doit être granulaire. D’autre part, les paramètres par défaut d’un système d’exploitation devraient garantir que les services de localisation sont désactivés (OFF), et les utilisateurs peuvent consentir explicitement à l’activation (ON) d’applications spécifiques. En outre, “il est important de faire la distinction entre le consentement à un service ponctuel et le consentement à un abonnement régulier. Par exemple, afin d’utiliser un service de géolocalisation particulier, il peut être nécessaire d’activer les services de géolocalisation dans l’appareil ou le navigateur. Si cette capacité de géolocalisation est activée, chaque site web peut lire les données de localisation de l’utilisateur de cet appareil mobile intelligent. Afin de prévenir les risques de surveillance secrète, l’ancien groupe de travail Article 29 considère qu’il est essentiel que le dispositif prévienne en permanence que la géolocalisation est activée, par exemple au moyen d’une icône visible en permanence. [3]
Enfin, et c’est important, l’ancien groupe de travail Article 29 a recommandé que les fournisseurs d’applications ou de services de localisation cherchent à renouveler le consentement individuel (même lorsqu’il n’y a pas de changement dans la nature du traitement) après une période de temps appropriée. Par exemple, il ne serait pas valable de continuer à traiter des données de localisation lorsqu’une personne n’a pas utilisé activement le service au cours des 12 mois précédents. Même lorsqu’une personne a utilisé le service, il convient de lui rappeler au moins une fois par an (ou plus souvent lorsque la nature du traitement le justifie) la nature du traitement de ses données personnelles. Ainsi, le développeur pourrait envisager la possibilité d’incorporer dans le dispositif ou le système un outil électronique capable d’envoyer une demande à l’utilisateur afin de (re)gagner (ou non) son consentement pour poursuivre le traitement. Toutefois, il s’agit davantage d’une recommandation que d’une exigence légale.
Le consentement général peut être acceptable, mais uniquement si certaines circonstances concrètes s’appliquent, par exemple : il est difficile ou improbable de prévoir comment ces données seront traitées à l’avenir ; le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales ; lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches ou à certaines parties de celles-ci. En outre, certaines garanties doivent être mises en œuvre.
Encadré 3 : Consentement général et garanties supplémentaires
L’autorité allemande de protection des données a récemment dressé une liste de garanties supplémentaires à mettre en œuvre en cas de consentement général.[4] Il s’agit de : 1. Garanties pour assurer la transparence :
2. Des garde-fous pour instaurer la confiance :
3. Garanties de sécurité :
|
Encadré 4 : Exemple de bonnes pratiques pour les fournisseurs d’applications de géolocalisation selon l’ancien groupe de travail Article 29-[5] :
Une application qui souhaite utiliser des données de géolocalisation informe clairement l’utilisateur des finalités pour lesquelles elle veut utiliser les données, et demande un consentement sans ambiguïté pour chacune des finalités éventuellement différentes. L’utilisateur choisit activement le niveau de granularité de la géolocalisation (par exemple, au niveau du pays, de la ville, du code postal ou aussi précisément que possible). Une fois le service de localisation activé, une icône est visible en permanence sur chaque écran indiquant que les services de localisation sont “activés”. Les utilisateurs peuvent retirer leur consentement en permanence, sans avoir à quitter l’application. Les utilisateurs peuvent également supprimer facilement et définitivement toutes les données de localisation stockées sur l’appareil. |
Liste de contrôle : consentement
☐ Les responsables du traitement sont en mesure de démontrer que, après avoir mis en balance les circonstances du traitement, ils ont conclu que le consentement est la base juridique la plus appropriée pour le traitement. ☐ Les responsables du traitement demandent le consentement des personnes concernées de manière libre, spécifique, informée et non équivoque, conformément à l’article 7 du RGPD. ☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment. ☐ Le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales. ☐ Lorsque le consentement général est utilisé, le responsable du traitement est particulièrement conscient que les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci. ☐ Les responsables du traitement ont une relation directe avec le sujet qui fournit les données. ☐ Le déséquilibre des pouvoirs entre les responsables du traitement et les personnes concernées ne fait pas obstacle au libre consentement. Ceci est particulièrement important dans certains contextes tels que le cadre du travail. ☐ Les contrôleurs demandent aux personnes de s’inscrire activement. ☐ Lescontrôleurs n’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut. ☐ Les contrôleurs utilisent un langage clair et simple, facile à comprendre. ☐ Les responsables du traitement précisent pourquoi ils veulent les données, ce qu’ils vont en faire et pendant combien de temps les données seront traitées. ☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement. ☐ Les responsables du traitement établissent un lien entre les données ou les catégories de données qui seront traitées pour chaque finalité. ☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment et de la manière de le faire. ☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de consentir sans que cela ne porte atteinte à leur accès au service. ☐ Les contrôleurs évitent de faire du consentement une condition préalable à un service. |
- https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
- DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. avril 2019, à l’adresse : www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consulté le 20 mai 2020). La traduction anglaise provient d’un beau résumé des mesures qui peut être consulté ici : www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/. ↑
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 15, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑