RGPD, le consentement est-il un fondement adapté à vos activités ?
Publié 26 juin 2018
Le cabinet DEGEZ-KERJEAN Avocats vous propose, à travers quelques articles, de décrire les principaux fondements de la licéité d’un traitement de données. Chaque entreprise, selon ce qu’elle va faire de ces données, pourra ainsi identifier le fondement le plus approprié aux traitements qu’elle met en œuvre pour l’exercice de son activité habituelle.
Comme rappelé dans un article précédent, le RGPD n’a PAS institué une obligation de consentement préalable à toute collecte de données personnelles.
Il faut le dire et le redire, il n’y a pas d’opt’in généralisé !
En effet, l’article 6 a) à f) du RGPD prévoit SIX fondements licites possibles.
Parmi ces six fondements possibles, trois concernent particulièrement les entreprises:
- Le consentement : « a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques »;
- L’exécution d’un contrat : « b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci »;
- Les intérêts légitimes de l’entreprise : « f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.»
Notre présent article concerne le consentement, ses avantages (s’il y en a ?) et, surtout, ses inconvénients.
-
Tout responsable de traitement (l’entreprise usuellement) a l’obligation désormais d’informer la personne dont il collecte et exploite (traite) les données personnelles, de la base juridique sur laquelle il fonde ce traitement.
Selon l’article 13-1°, b) du RGPD il n’est pas possible de passer d’une base à une autre puisque le fondement doit être indiqué au moment de la collecte. Ceci impose que le choix du fondement soit bien réfléchi avant d’être mis en œuvre.
-
Le consentement est souvent présenté comme la meilleure protection de la personne qui aurait donc le CHOIX de consentir ou non à la collecte et à l’usage de ses données.
Ce consentement est usuellement « exigé » en contrepartie de services gratuits, le fameux : « si c’est gratuit, c’est que vous êtes le produit » autrement dit si le service est gratuit, vos données sont la vraie valeur.
Or si la personne refuse de donner ses données et qu’alors elle ne peut pas avoir accès au service proposé, son choix se résume à « je donne mes données et j’accède au service sinon je n’ai pas accès au service proposé » . Il est alors difficile de soutenir, en droit, qu’il y a un vrai choix et que la personne est libre de donner son consentement. Le soi-disant consentement est en réalité une contrainte pour accéder au service. En cela, il pourrait y avoir vice d’un consentement obtenu sous la contrainte. Juridiquement, un consentement vicié est nul. Un traitement de données personnelles fondé sur un consentement nul est alors illicite et les responsables du traitement seront responsables et sanctionnables.
Les entreprises qui conditionnent l’accès à des services gratuits en contrepartie du consentement à la collecte et à l’exploitation de données risquent de voir de tels fondements critiqués voire contestés et leur licéité mise en cause.
Par ailleurs, lorsque le consentement fondera un traitement, il sera impératif de respecter un parallélisme des formes quant aux modalités de recueil du consentement et celles de son retrait à tout moment. Le consentement supposera aussi la vérification régulière de la validité. Il appartiendra à l’entreprise de mettre en œuvre, à intervalles de temps réguliers, des campagnes de confirmation du consentement des personnes pour pouvoir justifier de la validité et du maintien de celui-ci dans le temps. Ces contraintes sont lourdes à gérer pour une entreprise.
-
Compte tenu des risques existants et des obligations lourdes pour l’entreprise, la question intéressante que les internautes/prospects/clients de l’entreprise se poseront inévitablement est de savoir pourquoi l’entreprise fait-elle le choix du consentement comme fondement ?!
Et si le consentement n’était que le seul moyen pour une entreprise d’élargir son champ à des traitements qui, autrement, lui seraient interdits par le RGPD ?
Sous cet angle, le consentement sera aussi la marque des traitements contre l’existence et la mise en œuvre desquels le RGPD a voulu précisément lutter (traitement massif de données, en particulier pour faire du profilage ou de la publicité etc….) et qui seraient interdits sans ce consentement.
Un traitement basé sur le consentement pourrait donc générer chez les visiteurs/prospects/clients d’une entreprise une (légitime) suspicion au regard du traitement de leurs données…
-
La base d’un commerce prospère est la confiance.
Introduire de la suspicion dans la relation avec les clients au moment où la relation s’engage n’est peut-être pas la placer sous les meilleurs auspices ni de bon augure pour la suite d’une telle relation.
-
La réflexion de toute entreprise sur le fondement de chacun de ses traitements doit être menée en amont.
Ces réflexions doivent amener l’entreprise à repenser sa stratégie commerciale, la nature de la relation qu’elle souhaite initier et entretenir avec ses clients, les investissements qu’elle souhaite mettre en place et assumer pour le suivi et la gestion du formalisme associés au recueil et au suivi des consentements recueillis, en particulier.
En conclusion,
Le « consentement » ne nous semble pas constituer un fondement adapté aux traitements de données personnelles générés par les activités habituelles des PME industrielles ou commerciales.
Les autres fondements de l’article 6 du RGPD sur la licéité des traitements : l’exécution d’un contrat ou les intérêts légitimes de l’entreprise, nous semblent plus logiques et intéressants pour les PME.
Notre cabinet vous accompagne à chaque étape de réflexion et de mise en œuvre de vos obligations RGPD dans votre entreprise et selon ses besoins …
Et vos obligations ne sont certainement pas de même ordre ni de même ampleur que celles des mastodontes mondiaux de la collecte des données et du profilage, qui ont des obligations spécifiques !
Sylvie DEGEZ