Nous analyserons ci-après les exigences de l’art. 25(2) du RGPD. Elle utilise la définition des défauts fournie dans la section “Détermination des instructions pour les ressources techniques” du présent document (1.3.3).

Comme il ressort clairement de la définition ci-dessus, les paramètres par défaut sont des paramètres (parfois appelés préférences ou profil utilisateur) qui sont sous le contrôle de la personne concernée. Les responsables du traitement décident des paramètres par défaut, c’est-à-dire des paramètres qui sont actifs en l’absence de toute intervention de la part de la personne concernée.

Ces paramètres influencent le traitement qui a lieu, notamment les aspects suivants :

• les données à caractère personnel qui sont traitées,
• l’étendue du traitement qui est effectué,
• la période pendant laquelle les données sont conservées, et
• les personnes physiques auxquelles les données personnelles sont rendues accessibles.

L’exemple de paramétrage suivant en est une illustration :

• Les personnes concernées peuvent, à titre facultatif, fournir une adresse électronique afind’être informées de l’état d’avancement du traitement d’une commande. Évidemment, cela a une incidence sur la quantité de données à caractère personnel traitées par le responsable du traitement. Cela affecte également l’étendue du traitement.
• Pour le traitement d’une commande, les personnes concernées doivent toujours fournir une adresse de livraison et des informations relatives au paiement. Elles peuvent, à titre facultatif, cliquer sur une case permettant de mémoriser ces informations afin d’éviter de les saisir à plusieurs reprises lors de commandes ultérieures. Si la quantité de données traitées par le responsable du traitement est toujours la même, l’option contrôlée par l’utilisateur affecte évidemment la période de conservation de ces données.
• Un fournisseur de médias sociaux peut présenter à ses utilisateurs des paramètres de confidentialité qui contrôlent la visibilité de leurs messages, allant de seulement les amis proches à tout le monde. De toute évidence, ces paramètres de confidentialité contrôlent les personnes physiques qui ont accès aux messages, qui représentent des données à caractère personnel.

Le RGPD comprend les éléments suivants :

Art. 25(2) : Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures doivent garantir que, par défaut, les données à caractère personnel ne sont pas rendues accessibles, sans l’intervention de la personne concernée, à un nombre indéfini de personnes physiques.

L’art. 25(2) prévoit donc que, par défaut, letraitement doit être limité à ce qui est nécessaire aux fins poursuivies. Il précise en outre que cela doit s’entendre au regard de la quantité de données, de l’ampleur du traitement et de la durée de conservation des données. La troisième phrase indique que cette disposition est également applicable^[1] au nombre de personnes auxquelles les données sont rendues accessibles. Cela semble donc faire référence au nombre de destinataires (tels que définis à l’art. 4(9) du RGPD).

Le libellé de l’art. 25, paragraphe 2, implique qu’il doit y avoir certains types de finalités supplémentaires : par défaut, le traitement doit être limité à un certain nombre de finalités ; mais après l’intervention de la personne concernée, il est évident que le traitement va au-delà de cette limitation. Cela implique que le traitement poursuit alors des finalités supplémentaires.

Les exemples ci-dessus permettent de mieux le comprendre. Dans le premier exemple, la finalité supplémentaire est de tenir la personne concernée informée de l’état d’avancement du traitement des commandes. Dans le deuxième exemple, la finalité supplémentaire est d’améliorer le confort d’utilisation pour les personnes concernées qui prévoient de passer à nouveau des commandes à l’avenir. Dans le troisième exemple, aucune finalité supplémentaire n’est poursuivie. En fait, la finalité consistant à limiter la visibilité des publications sur les médias sociaux à l’éventail prévu par l’utilisateur est toujours présente. Notez que la troisième phrase de l’art. 25(2) qui correspond à cet exemple s’abstient également de faire référence aux finalités.

Ces exemples illustrent que les finalités supplémentaires et les finalités qui sous-tendent la situation visée à la troisième phrase sont toujours des finalités qui bénéficient aux personnes concernées.

Sur la base de cette analyse, l’art. 25(2) semble indiquer que par défaut :

• les finalités supplémentaires susceptibles de bénéficier aux personnes concernées sont désactivées, au moins tant qu’elles nécessitent la collecte de données supplémentaires, qu’elles augmentent l’étendue du traitement, qu’elles entraînent une prolongation de la période de conservation ou qu’elles augmentent le nombre de destinataires ;
• lorsqu’une finalité dans l’intérêt de la personne concernée est toujours poursuivie par le traitement (c’est-à-dire qu’elle ne peut être désactivée), son impact sur la protection des données doit être minimisé en ce qui concerne les données collectées, l’étendue du traitement, la période de conservation et le nombre de destinataires.

L’art. 25, paragraphe 2, peut être considéré comme une sorte de protection contre les “portes dérobées” parlesquelles les responsables du traitement collectent des données supplémentaires, les conservent pendant des périodes plus longues, augmentent l’étendue du traitement ou les destinataires, en justifiant que c’était le souhait de la personne concernée. De toute évidence, les personnes concernées qui ne sont intervenues d’aucune manière, peuvent ne pas être conscientes de “leurs souhaits”, peuvent ne pas avoir lu l’expression de leurs souhaits en détail, ou sont au moins influencées par les valeurs par défaut pour exprimer plus probablement les “souhaits” favorisés par le responsable du traitement.

Cette garantie qui requiert explicitement l’intervention de la personne concernée impose donc l’utilisation de dialogues “opt-in” et interdit les dialogues “opt-out”. C’est le même concept qui est appelé “action d’affirmation claire” dans le contexte du consentement (voir l’art. 4(11) duRGPD). C’est directement comparable au fait d’affirmer que sans une action d’affirmation claire, c’est-à-dire “sans l’intervention de la personne“, un traitement supplémentaire en termes de quantité et de période de conservation des données, d’étendue du traitement ou de nombre de destinataires est illégitime. Il est important de noter que cette exigence de solutions opt-in est indépendante du choix du consentement comme base légale ou non.

Sur la base de l’analyse ci-dessus, les mesures visées à l’art. 25(2) pourraient être les suivantes :

• Mesures permettant de s’assurer que les paramètres par défaut minimisent l’impact du traitement sur la protection des données.
• Mesures permettant de s’assurer que les personnes concernées sont informées des conséquences des paramètres qu’elles contrôlent.
• Des mesures qui permettent de s’assurer que les décisions exprimées par les paramètres sont spécifiques. Par exemple, les objectifs supplémentaires ne peuvent pas tous être activés par une seule case à cocher, mais il doit être possible de les activer individuellement.
• Mesures permettant de vérifier l’absence de toute forme de pression dans la boîte de dialogue où les utilisateurs choisissent leurs paramètres, afin de s’assurer que les personnes concernées peuvent choisir librement leurs préférences.

 

1. “En particulier” indique que le reste de la phrase est une application de l’expression de la phrase précédente. ↑