Consentement
Home » IdO » Licéité : Choisir une base juridique » Consentement

Le consentement est la base juridique la plus traditionnelle pour le traitement des données. En outre, le projet de règlement sur la vie privée en ligne[1] considère le consentement comme la principale base du traitement légal des données dans le contexte des communications électroniques, une circonstance qui s’applique, par exemple, dans le cas des dispositifs IdO connectés au web. Le consentement, cependant, ne s’appliquera que si certaines conditions sont remplies. Si le consentement est utilisé comme base légale pour le traitement des données, les développeurs doivent s’assurer que le dispositif qu’ils créent inclut la nécessité d’exiger le consentement préalable des utilisateurs pour le traitement de manière spécifique, informée et granulaire et assurer la documentation adéquate de ce consentement.

Selon l’EDPB, la granularité signifie qu'”un service peut impliquer plusieurs opérations de traitement pour plus d’une finalité. Dans ce cas, les personnes concernées devraient être libres de choisir la finalité qu’elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. Dans un cas donné, plusieurs consentements peuvent être justifiés pour commencer à offrir un service, conformément au RGPD.”[2]

La granularité “ne devrait pas seulement concerner les catégories de données collectées, mais aussi le moment et la fréquence auxquels les données sont capturées, ainsi que les différentes finalités pour lesquelles ces données seront traitées. À l’instar de la fonction “ne pas déranger” sur les smartphones, les appareils IdO devraient proposer une option “ne pas collecter” pour programmer ou désactiver rapidement les capteurs.”[3]

Il doit être parfaitement clair que le consentement de la personne concernée ne peut être obtenu librement par l’acceptation obligatoire de conditions générales, ni par des possibilités d’opt-out.[4] Ainsi, les dispositifs doivent être conçus de manière à ce que le consentement soit granulaire et que les utilisateurs aient la possibilité de renoncer à certains services ou fonctionnalités d’un IdO. Les utilisateurs ne doivent pas être pénalisés ou avoir un accès dégradé aux capacités du système s’ils décident de ne pas l’utiliser (lors d’une interaction avec un autre système) ou s’ils décident de ne pas utiliser un service spécifique intégré au système.

Les dispositifs et les applications doivent toujours être conçus pour informer les utilisateurs et les non-utilisateurs du traitement des données, par exemple via l’interface physique du dispositif ou en diffusant un signal sur un canal sans fil. Indépendamment de l’existence d’une relation contractuelle et même de la base juridique du traitement, toute personne concernée, qu’elle soit utilisatrice ou non-utilisatrice, doit être informée et en mesure d’exercer ses droits (la seule exception est le droit d’opposition, qui n’est pas applicable si la base juridique du traitement est le consentement). [5] La possibilité de retirer le consentement doit être garantie dès le moment où les données sont collectées et les personnes concernées doivent être informées de cette possibilité.

La gestion des consentements nécessite une conformité préalable avec les principes de protection des données dès la conception et par défaut. Comme l’a indiqué Wachter, il est fortement recommandé aux développeurs IdO de définir des autorisations d’accès “non seulement pour les utilisateurs, mais aussi pour les “objets” qui cherchent à accéder aux données d’un utilisateur ou à les traiter pour le compte de l’utilisateur ou d’un tiers”. Ces autorisations d’accès doivent respecter les préférences de l’utilisateur en matière de confidentialité. La gestion des identités combinée à un contrôle d’accès basé sur les rôles, par exemple, permet de vérifier l’identité et d’autoriser les demandes d’actions ou les dispositifs des utilisateurs en fonction du rôle qui leur est attribué par le système, ce qui garantit que seules les actions autorisées pour un rôle spécifique (par exemple, la collecte, la transmission ou le traitement de données) peuvent être effectuées au cours d’une session. Les administrateurs ou les utilisateurs peuvent définir ces autorisations, offrant ainsi différentes approches pour protéger les préférences subjectives des utilisateurs en matière de vie privée.”[6]

Encadré 3 : Politiques collantes et mandataires de la vie privée

Un meilleur contrôle du traitement des données pourrait être garanti par l’utilisation d’une approche basée sur les politiques dites “collantes”, qui peuvent favoriser le respect du cadre de protection des données en intégrant aux données elles-mêmes des informations sur les conditions et les limites de l’utilisation des données. Ainsi, ces politiques pourraient définir le contexte d’utilisation des données, les finalités, les politiques d’accès des tiers et une liste d’utilisateurs de confiance.

Un moyen alternatif/complémentaire d’offrir à la personne concernée un contrôle réel sur la manière dont les données doivent être traitées lors de l’interaction avec les capteurs en lui permettant d’exprimer ses préférences, y compris l’obtention et la révocation du consentement et les choix de limitation de la finalité, pourrait être basé sur l’utilisation de mandataires pour la protection de la vie privée. Prises en charge par un dispositif, les demandes de données sont confrontées à des politiques prédéfinies régissant l’accès aux données sous le contrôle de la personne concernée. En définissant des paires de capteurs et de politiques, les demandes de tiers pour la collecte ou l’accès aux données des capteurs seraient autorisées, limitées ou simplement rejetées.

Source : Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014)https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

Afin d’éviter les risques de surveillance secrète, l’ancien groupe de travail Article 29 estime qu’il est essentiel que le dispositif prévienne que la fonction de partage des données est “activée”, par exemple au moyen d’une icône visible en permanence.[7] En effet, envisager une signalisation appropriée qui serait réellement visible par les personnes concernées pourrait être particulièrement important lorsque nous avons affaire à des wearables. Tous les dispositifs IdO devraient informer les personnes concernées non utilisatrices dont les données sont collectées de ce traitement, y compris de toutes les informations pertinentes le concernant. Les responsables du traitement doivent faire de leur mieux pour s’assurer que ces informations sont fournies, même si, en pratique, cela peut être difficile. Des outils adéquats doivent être mis en œuvre pour garantir le respect de la préférence des personnes concernées non utilisatrices de ne pas voir leurs données collectées par le dispositif.

Si le dispositif IdO intègre des outils fournis par des tiers et que le consentement est la base légale la plus appropriée, les développeurs IdO doivent être conscients du fait que ces outils doivent être installés sur la base d’un consentement préalable (même si cette pratique n’est pas largement suivie dans certains secteurs). Par conséquent, le groupe de travail “Article 29” a déclaré que “comme cet accès est soumis à l’obligation d’obtenir le consentement préalable de l’utilisateur, ce consentement doit être clairement donné, spécifique et informé. La pratique montre toutefois que, souvent, les demandes d’autorisation faites par les développeurs d’applications tierces n’affichent pas suffisamment d’informations pour que le consentement de l’utilisateur soit considéré comme spécifique et suffisamment éclairé, et donc valable au regard du droit communautaire”. [8]

Enfin, et c’est important, le groupe de travail Article 29 a recommandé que les fournisseurs d’applications ou de services cherchent à renouveler le consentement individuel (même lorsqu’il n’y a pas de changement dans la nature du traitement) après une période de temps appropriée. Par exemple, il peut ne pas être valable de continuer à traiter des données personnelles lorsqu’une personne n’a pas utilisé activement le service au cours des 12 mois précédents. Même lorsqu’une personne a utilisé le service, il convient de lui rappeler au moins une fois par an (idéalement plus souvent, notamment lorsque la nature du traitement le justifie) la nature du traitement de ses données personnelles. Ainsi, le développeur pourrait envisager la possibilité d’incorporer dans le dispositif ou le système un outil capable d’envoyer une demande à l’utilisateur et de regagner (ou non) son consentement pour poursuivre le traitement. Toutefois, il s’agit davantage d’une recommandation que d’une exigence légale absolue. En tout état de cause, la personne concernée doit avoir à sa disposition un moyen facile de retirer son consentement, à tout moment, sans effet rétroactif.

Le consentement généralpeut être acceptable, mais uniquement si certaines circonstances concrètes s’appliquent, par exemple : il est difficile ou improbable de prévoir comment ces données seront traitées à l’avenir ; le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec la réglementation nationale ; lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches ou à certaines parties de celles-ci. En outre, certaines garanties doivent être mises en œuvre (voir encadré 4).

Encadré 4 : Consentement général et garanties supplémentaires

L’autorité allemande de protection des données a dressé une liste de garanties supplémentaires à mettre en œuvre en cas de consentement large dans le cadre de projets de recherche.[9] Ces garanties, qui peuvent être adaptées de manière appropriée à d’autres circonstances, sont les suivantes :

1. Garanties pour assurer la transparence :

  • Utilisation de règlements d’utilisation ou de plans de recherche qui illustrent les méthodes de travail prévues et les questions qui doivent faire l’objet du projet de recherche.
  • Évaluation et documentation de la question de savoir pourquoi, dans ce projet de recherche particulier, une spécification plus détaillée des objectifs de la recherche n’est pas possible.
  • Créer un site web pour informer les participants aux études sur les études en cours et futures.

2. Des garde-fous pour instaurer la confiance :

  • Vote positif d’un comité d’éthique avant l’utilisation des données à des fins de recherche ultérieure.
  • Évaluation de la possibilité de travailler avec un consentement dynamique ou de la possibilité pour une personne concernée de refuser son consentement ou de s’y opposer avant que les données puissent être utilisées pour de nouvelles questions de recherche (en fonction de la base légale de ce traitement ultérieur des données).

3. Garanties de sécurité :

  • Aucun transfert de données vers des pays tiers dont le niveau de protection des données est inférieur.
  • Mesures supplémentaires concernant la minimisation des données, le cryptage, l’anonymisation, la pseudonymisation ou la mise en œuvre de mesures de sécurité.
  • Mise en œuvre de politiques spécifiques pour limiter l’accès aux données personnelles.

Il est important de noter que si le traitement des données à caractère personnel est nécessaire au traitement, de telle sorte que le traitement ne peut avoir lieu sans les données, ou qu’un certain service ne peut être offert sans le traitement, le consentement peut ne pas être la base légale la plus efficace. En effet, les personnes concernées peuvent toujours avoir le droit de retirer leur consentement à tout moment. Dans les cas où l’activité dépend des données, le retrait du consentement peut déclencher l’incapacité de satisfaire le service. En fonction de toutes les autres circonstances entourant l’activité de traitement, dans ces cas, d’autres bases légales peuvent être plus appropriées, comme la nécessité d’exécuter un contrat.

En outre, les personnes concernées doivent avoir la possibilité de retirer tout consentement préalable donné à un traitement de données spécifique et de s’opposer au traitement des données les concernant. L’exercice de ce droit doit être possible sans aucune contrainte technique ou organisationnelle et les outils fournis pour enregistrer ce retrait doivent être accessibles, visibles et efficaces.

Selon le groupe de travail Article 29, “les régimes de retrait devraient être très fins et couvrir :

(1) Toute donnée collectée par une chose spécifique (par exemple, demander que la station météorologique cesse de collecter l’humidité, la température et les sons) ;

(2) Un type spécifique de données collectées par n’importe quoi (par exemple, un utilisateur devrait pouvoir interrompre la collecte de données par tout dispositif enregistrant le son, qu’il s’agisse d’un tracker de sommeil ou d’une station météorologique) ;

(3) Un traitement de données spécifique (par exemple, les utilisateurs pourraient exiger que leur podomètre et leur montre cessent de compter leurs pas). En outre, étant donné que les “objets connectés” portables sont susceptibles de remplacer des articles existants qui fournissent des fonctionnalités habituelles, les responsables du traitement des données devraient offrir une option permettant de désactiver la fonctionnalité “connectée” de l’objet et de le faire fonctionner comme l’objet original, non connecté (c’est-à-dire désactiver la fonctionnalité connectée de la montre intelligente ou des lunettes).

Le groupe de travail a déjà précisé que les personnes concernées devraient avoir la possibilité de “retirer continuellement (leur) consentement, sans avoir à quitter le service fourni”[10] .

Liste de contrôle : consentement

☐ Les responsables du traitement sont en mesure de démontrer que, après avoir mis en balance les circonstances du traitement, ils ont conclu que le consentement est la base juridique la plus appropriée pour le traitement.

☐ Les responsables du traitement demandent le consentement des personnes concernées de manière libre, spécifique, informée et non équivoque, conformément à l’article 7 du RGPD.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment.

☐ Lorsque le consentement général est utilisé pour le traitement de catégories spéciales de données compatible avec la réglementation nationale.

☐ Lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certains projets et parties de ceux-ci.

☐ Le déséquilibre des pouvoirs entre les responsables du traitement et les personnes concernées ne fait pas obstacle au libre consentement. Ceci est particulièrement important dans un contexte tel que le cadre du travail.

☐ Les responsables du traitement demandent aux personnes de s’inscrire activement.

☐ Les responsables du traitementn’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut.

☐ Les responsables du traitementutilisent un langage clair et simple, facile à comprendre.

☐ Les responsables du traitement précisent quels types de données ils veulent, pourquoi ils les veulent, ce qu’ils vont en faire et pendant combien de temps les données seront traitées.

☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement.

☐ Les responsables du traitement établissent un lien entre les éléments de données ou les catégories de données qui seront traités pour chaque finalité.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment et de la manière de le faire.

☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de consentir sans préjudice dans leur accès au service.

☐ Les responsables du traitement évitent de faire du consentement une condition préalable à un contrat de prestation de service si les données ne sont pas nécessaires à l’exécution de ce service.

 

  1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  2. EDPB, Lignes directrices 05/2020 sur le consentement au titre du règlement 2016/679, adoptées le 4 mai 2020, à l’adresse : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
  3. Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  4. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf.
  5. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  6. Wachter, Sandra, Défis normatifs de l’identification dans l’Internet des objets : Privacy, profiling, discrimination, and the GDPR, Computer Law & Security Review, Volume 34, Issue 3, 2018, pages 436-449.
  7. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/EN WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. Voir l’affaire LaLiga, à l’adresse : https://asociaciondpd.com/wp-content/uploads/2019/07/PS-00326-2018_ORI.pdf. Un résumé en anglais est disponible à l’adresse suivante : https://iapp.org/news/a/spanish-dpa-fines-la-liga-250k-euros-for-alleged-gdpr-violations/
  8. Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  9. DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. avril 2019, à l’adresse : www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consulté le 20 mai 2020). La traduction anglaise provient d’un beau résumé des mesures qui peut être consulté ici : www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/.
  10. Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur l’évolution récente de l’Internet des objets (SEP 16, 2014), p. 20, à l’adresse : https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

 

Aller au contenu principal