• AUTEUR
    Maxime Mucetti
    Avocat
  • CATÉGORIE
    Nouveauté
    Nouvelles technologies
  • DATE DE PUBLICATION

    19/01/2018

Le 25 Mai 2018, le règlement européen n°2016/679 sur la protection des données (« RGPD ») entrera en vigueur. La mise en conformité des professionnels avec cette nouvelle réglementation est impérative pour s’assurer que les données collectées soient réutilisables et valorisables ultérieurement, mais également pour éviter toute sanction.

Pour rappel, les données à caractère personnel peuvent être définies comme toute information relative à une personne physique identifiée ou identifiable. Aussi, la notion de données personnelles est extrêmement large, puisqu’elle englobe aussi bien l’identité, l’adresse, le numéro de téléphone, les photos, la géolocalisation, que les habitudes de consommation ou de navigation web ou encore des opinions de toute personne physique.

Dès lors qu’un professionnel collecte les données personnelles d’une personne physique, il est un responsable de traitement, tenu de respecter la réglementation en vigueur.
Le règlement général sur la protection des données impose de nouvelles obligations aux responsables de traitement, tout en apportant des précisions sur des obligations préexistantes.
A ce titre, il est nécessaire que les professionnels prennent connaissance, dès à présent, des précisions apportées sur les modalités de recueil du consentement des personnes dont les données sont collectées. 

Cet article sur le consentement se concentre sur les sites internet et les applications de mobiles, moyens privilégiés par les professionnels pour collecter les données personnelles de leurs utilisateurs personnes physique.

I. Cas où le consentement est requis

Pour se mettre en conformité avec la réforme des la protection des données, les professionnels doivent, au préalable, identifier le fondement juridique sur lequel se fonde leur(s) traitement(s) de données personnelles.

Concernant les sites internet et les applications sur mobile, sauf exceptions particulières, deux fondements juridiques peuvent être retenus.

L’article 6 du règlement général sur la protection des données dispose que :

"Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;  
b. le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci."

Les professionnels qui collectent les données personnelles, via un site internet ou une application mobile, seraient fondés de soutenir que les données collectées sont nécessaires à l’exécution du contrat de vente ou de fourniture de service. En effet, l’utilisateur doit fournir à l’éditeur du site internet ou de l’application mobile un certain nombre de données personnelles, afin qu’il puisse avoir accès aux biens ou services proposés.

Cependant, ce premier fondement juridique doit être interprété de manière prudente, faute de précision. Aussi, il est recommandé de retenir une lecture littérale de cette disposition.

Par conséquent, pour fonder leur traitement sur cette condition, les professionnels devront uniquement collecter les données personnelles strictement nécessaires à la fourniture du bien ou du service. Pour collecter d’autres données personnelles, il sera nécessaire de recueillir le consentement de la personne concernée. Telle sera le cas, notamment, lorsque le professionnel souhaite collecter des données personnelles pour effectuer une prospection commerciale, s’assurer de la maintenance du site internet ou de l’application ou encore établir des statistiques d’usages. Les données personnelles qui pourront être collectées sans le consentement de la personne concernée sont donc nécessairement limitées.

II. Modalités de collecte du consentement

Les modalités de collecte du consentement sont précisées dans le considérant 32 du règlement général sur la protection des données, lequel dispose :

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. »

Tout d’abord, concernant la forme du consentement, celui-ci doit se manifester par un acte positif. En pratique, les professionnels pourront utiliser une case à cocher ou un bouton à glisser pour recueillir le consentement. Il est précisé que la case doit être décochée par défaut.

En outre, le consentement doit être recueilli préalablement à la collecte et au traitement des données personnelles. En pratique, le consentement devra donc être demandé à la première utilisation du site internet ou de l’application mobile par la personne physique concernée.

Enfin, autre point essentiel, il est nécessaire de recueillir un consentement distinct pour chacun des traitements mis en œuvre, lorsqu’ils ont des finalités différentes. En pratique,  le professionnel devra obtenir un consentement pour la prospection commerciale, un autre consentement pour la création de statistiques, et encore un autre pour la maintenance par exemple. L’identification des traitements et finalités par le professionnel est impérative.

III. Retrait du consentement

Les professionnels doivent prévoir la faculté pour une personne de retirer son consentement.

En effet, l’article 7.3 du règlement général sur la protection des données dispose que :

« La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »

Les modalités de retrait du consentement doivent respecter le principe de parallélisme des formes, en vertu duquel le moyen utilisé pour que la personne puisse retirer son consentement doit être identique ou similaire à celui utilisé pour le recueillir.

Jusqu’à présent, pour exprimer le retrait du consentement, il était courant que le professionnel exige l’envoi d’un courrier ou d’un mail. Cependant, l’entrée en vigueur du règlement général sur la protection des données semble condamner une telle pratique.

En effet, faute de précision sur ce point, il est recommandé aux professionnels d’opter pour les options les plus prudentes.

Ainsi, lorsque les professionnels utiliseront une case à cocher ou un bouton à glisser pour obtenir le consentement de la personne concernée, ils devront prévoir, dans les paramètres de l’espace personnel de l’utilisateur, la possibilité de retirer le consentement via une case à cocher ou un bouton à glisser, selon la modalité choisie pour le recueil du consentement.

Ceci devra tenir compte du prochain projet de loi intégrant en droit français, peut être de manière encore plus restrictive, ledit règlement européen.