Le RGPD exige (enfin) un consentement éclairé

Auteur Sujet: Le RGPD exige (enfin) un consentement éclairé  (Lu 19 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne mike

  • Webmaster
  • *
  • Messages: 4530
  • Karma: +0/-0
  • on a toujours besoin d'un qui tien l'échelle
    • Voir le profil
Le RGPD exige (enfin) un consentement éclairé
« le: 06 décembre 2017 à 21:33:46 »
Le RGPD exige (enfin) un consentement éclairé

Technologie : Le règlement européen sur la protection des données personnelles place le consentement de l’individu au cœur de son approche. Le responsable de traitement doit répondre à de nouvelles exigences notamment en matière d’informations. Check-list des mesures à prendre.

Fini les cases précochées, les demandes de consentement qui valent pout tout et n’importe quoi ou celles noyées dans un flot indigeste de conditions générales que personne ne lit. Le RGPD redonne tout son sens au mot consentement. Le règlement européen sur la protection des données personnelles définit même précisément les conditions de son recueil.



« Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale », précise le texte.

Chaque mot utilisé est pesé au trébuchet. Le silence de la personne ne vaut pas consentement, le fameux « qui ne dit mot consent ». Non, l’accord ne doit souffrir d’aucune ambiguïté (opt-in) comme une case à cocher ou un bandeau à cookie à accepter sur un site internet. La personne est libre dans ses choix. L’exécution d’un service ne peut être conditionnée par l’obtention de ce consentement si cela n’est pas nécessaire à sa réalisation. « Spécifique », car le consentement ne porte que sur la finalité mentionnée (prospection commerciale, marketing, analyse statistique, revente à des tiers...)


Ce consentement doit pouvoir être retiré aussi simplement qu'il a été donné

Le jugement est « éclairé » car la personne bénéficie de toutes les informations nécessaires pour décider en connaissance de cause. Aux obligations actuelles en matière d’information comme le nom du responsable du traitement, la finalité poursuivie, les catégories de destinataires des données, la durée de conservation des données, les droits d'accès, de rectification et d'opposition s’ajoutent de nouvelles exigences. Il s’agit notamment de mentionner le nouveau droit à la portabilité des données et la possibilité de déposer plainte devant l'autorité de protection des données compétente. L'origine des données et le fondement juridique (base légale) du traitement doivent être également précisés.

Ce consentement doit pouvoir être retiré aussi simplement qu'il a été donné et la personne informée de cette possibilité de retrait. Intervenant à une conférence du Club des directeurs marketing et communication de l’IT (CMIT) Ariane Mole, avocate associée au cabinet Bird & Bird, rappelle, par ailleurs, que le consentement doit être distinct des autres questions posées, du reste du contrat ou des conditions générales d’utilisation (CGU). « Mentionner « en acceptant les CGU, vous acceptez de recevoir des informations de notre société » serait jugé illégal. »

Enfin, les mineurs font l’objet d’un traitement spécifique. Les enfants de moins de 13 ans ne peuvent cas donner eux-mêmes leur consentement. Pour ceux âgés de 13 à 15 ans inclus, le consentement parental est en règle générale réclamé.


Seulement 6 % des sites web conformes


En plaçant le consentement de l’individu au cœur de son approche, le RGPD impose – on le voit – un cadre particulièrement exigeant. Selon le cabinet de conseil Converteo, seuls 6% des acteurs seraient aujourd’hui conformes selon un audit réalisé cet été et portant sur les sites web de cent entreprises françaises ou opérant en France. Entre autres manquements, 40 % des sites ne donnent pas de précisions sur la finalité et 76 % sur la durée de conservation. L’étude note que les GAFA et les pure players de l’e-commerce sont « globalement en avance dans le processus de conformation ».

Sur le chemin de la conformité, il convient de procéder à la refonte d’un certain nombre de documents : notices d'information, politique de cookies, chartes… La politique de confidentialité qui - on le rappelle -, est distincte des mentions légales ou des CGV/CGU doit intégrer les nouvelles exigences du RGPD. Prestataire d’envoi d’e-mails, Mailjet a revu la sienne mi-septembre.

Converteo conseille de faire preuve de pédagogie, de transparence et de simplicité. Pour un site web, la politique de confidentialité apparaîtra en bas de chaque page (footer) et elle expliquera « en toute transparence quelle donnée est collectée pour quel usage, et conservée pendant combien de temps ».

Les exemples de LinkedIn et France Télévisions

Le cabinet cite, en exemples, LinkedIn et France Télévisions qui font appel à des formats innovants. Le réseau social a scindé le texte en deux parties : la partie de gauche détaille l’intégralité des dispositions, celle de droite les résume en points-clés. Le groupe audiovisuel public a publié, lui, une vidéo ludique illustrant les enjeux de la protection des données personnelles.

Enfin, il revient au responsable de traitement de démontrer à tout moment qu’il est en conformité en produisant les preuves du consentement. Cela peut être un contrat signé pour un salarié ou un partenaire commercial, la validation d’un bandeau d’information sur les cookies sur le modèle que préconise la Cnil ou l’envoi d’un e-mail récapitulatif pour un internaute.

Derrière, l’organisation doit aussi mettre en place les moyens pratiques permettant l’exercice des différents droits (droit d’opposition, droit à l’oubli…) mais aussi la suppression automatique des données au-delà du délai fixé (inférieur à 13 mois pour les cookies et les adresses IP selon les recommandations de la Cnil). En cas de sous-traitance, il s’agit aussi de revoir les clauses contractuelles afin de répondre à ces nouvelles exigences. Le Cigref, l’Afai et Tech In France ont recensé les mesures à prendre pour mettre les systèmes d’information en conformité dans un livrable très complet.

http://www.zdnet.fr/actualites/le-rgpd-exige-enfin-un-consentement-eclaire-39861032.htm?utm_term=Autofeed&utm_campaign=Echobox&utm_medium=Social&utm_source=Facebook



 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18