Nouvelles exigences en matière de consentement et d'information lors de la collecte de données conformément au RGPD
Pourquoi un consentement ?
Tout comme la BDSG, le RGPD interdit toute utilisation de données à caractère personnel. Il n'existe que quelques rares exceptions à cette interdiction, dont le consentement. Sans l'intervention d'une telle exception, les traitements de données habituels tels que la collecte de données, le stockage de données et la transmission de données à des tiers seraient interdits. La collecte et l'enregistrement consistent déjà à noter dans un système informatique des informations tirées d'un entretien avec la personne concernée. La transmission de données est également plus rapide qu'on ne le pense souvent. Si l'on enregistre un nouveau contact dans son smartphone et que le carnet d'adresses est synchronisé avec le système cloud du fabricant du smartphone - c'est d'ailleurs le réglage standard à l'heure actuelle - il s'agit déjà d'une transmission pour laquelle il faut trouver une norme d'autorisation en matière de protection des données. Les utilisations purement privées à des fins personnelles et familiales ne sont pas soumises au RGPD, contrairement aux traitements commerciaux ou professionnels.
Que sont les données à caractère personnel ?
Lorsque l'on parle de données à caractère personnel, on pense souvent uniquement au nom d'une personne et peut-être à son adresse, à ses dossiers médicaux ou, pour certains, à son numéro de téléphone. Mais la notion de données à caractère personnel va bien au-delà - du point de vue de l'entreprise, malheureusement. En fin de compte, toute information qui peut être attribuée à une personne physique est une donnée à caractère personnel. Il n'est pas nécessaire que le nom de la personne soit connu. Il suffit qu'elle soit identifiable par le biais d'un tiers. La CJCE a par exemple récemment tranché la question, jusqu'ici très controversée, de savoir si les adresses IP dynamiques sur Internet sont des données à caractère personnel. La CJUE a répondu en principe par l'affirmative - selon la compréhension générale de la décision et en ce qui concerne l'Allemagne (CJUE, arrêt du 19.10.2016, aff. C-582/14). C'était déjà l'avis des autorités de protection des données dans les années précédentes.
C'est aussi la raison pour laquelle chaque visite d'un site web sur Internet est pertinente du point de vue de la protection des données. En effet, lors de chaque visite, l'adresse IP est obligatoirement transmise. C'est pourquoi - selon certains - il est inadmissible d'exploiter un site web via un serveur Internet loué auprès d'un tiers. En effet, dans ce cas, l'adresse IP est immédiatement transmise à un tiers. Du point de vue de la protection des données, cette situation peut également être résolue conformément à la loi. Toutefois, le consentement n'entre pas en ligne de compte, car il ne peut pas être obtenu avant la visite du site web. Du point de vue de la protection des données, il convient donc de conclure un accord de traitement des commandes avec l'exploitant du serveur. Le traitement des commandes est un accord séparé qui constitue également une norme d'autorisation libérant de l'interdiction fondamentale de traiter des données à caractère personnel. Comme alternative au traitement à façon, il est possible de se demander s'il existe un intérêt légitime du responsable du traitement.
Il convient de souligner que seules les données des personnes physiques tombent sous le coup du RGPD, et non celles des personnes morales. Le traitement de l'adresse électronique "info@unternehmen-xy.de" ne pose donc pas de problème - il en va autrement de l'adresse "max.mustermann@unternehmen-xy.de". Cela ne va pas de soi, car la législation sur la protection des données en Autriche et en Suisse, par exemple, protège également les données des personnes morales.
Sous quelle forme le consentement doit-il être donné ?
Selon la BDSG, le consentement doit toujours être donné par écrit (donc sur papier). Il n'existe une exception que pour le domaine en ligne. Sous l'empire du RGPD, il n'y a plus d'exigence de forme. Le responsable doit toutefois être en mesure de prouver qu'un consentement a été donné. Si le consentement est donné par écrit dans un document, la déclaration de consentement doit se distinguer clairement des autres éléments.
Le domaine du droit du travail fait l'objet d'une disposition nationale spécifique différente, selon laquelle la forme écrite doit être respectée.
Concernant l'information, la limitation de la finalité et la révocation
La personne qui donne son consentement doit être informée de manière extrêmement claire et dans un langage simple avant de donner son consentement. L'information doit lui permettre de comprendre toute la portée de sa décision. Dans la pratique, il existe des difficultés considérables à cet égard. En effet, des processus organisationnels et techniques parfois complexes doivent être décrits dans un langage très simple. De plus, il arrive souvent que les faits ne soient pas encore clairement établis au moment du consentement. Il peut par exemple être clair qu'un sous-traitant sera impliqué, mais il n'est pas encore possible de déterminer lequel exactement. Il peut également être nécessaire d'envisager un changement ultérieur de sous-traitant. Il n'est donc pas possible de citer nommément le sous-traitant.
La représentation de processus techniques quotidiens peut également poser de sérieux problèmes. S'il faut par exemple donner son consentement au traitement pour la réception d'une lettre d'information, il convient de noter que des prestataires tiers, dont le siège se trouve parfois en dehors de l'UE, sont souvent intégrés à cette fin. Il convient donc de fournir des informations tant sur l'intégration du prestataire tiers que sur le transfert de données à l'étranger, ainsi que sur les autres particularités qui s'y ajoutent généralement, par exemple en ce qui concerne la mise en œuvre du droit de rétractation.
Si l'information est insuffisante, le consentement n'est pas valable. De plus, les données à caractère personnel sont strictement liées à un objectif. Cela signifie que les données collectées dans un but précis ne peuvent pas être utilisées ultérieurement dans un autre but. Par exemple, si un client donne son accord pour recevoir des informations sur une série d'événements, ses données ne peuvent pas être utilisées pour la newsletter de l'entreprise.
Le RGPD prévoit désormais que le droit de rétractation doit également être mentionné dans le cadre de l'information et que les traitements effectués jusqu'au moment de la rétractation ne sont pas affectés par celle-ci. Cette nouvelle obligation d'information clarifie également une question controversée concernant l'étendue et la "portée" temporelle d'une révocation. Sous l'empire de la BDSG, on considérait en effet qu'une révocation pouvait également avoir un effet rétroactif dans le temps.
Nouvelles obligations d'information massives
L'information susmentionnée sur le droit de rétractation et les conséquences de son exercice est une obligation qui doit être respectée spécifiquement pour le consentement. Toutefois, en règle générale, des données sont également collectées dans le cadre d'un consentement, c'est-à-dire que le nom et l'adresse électronique d'un client sont par exemple demandés. Dans ce cas, les obligations d'information relatives à la collecte de données doivent également être respectées. Il s'agit de douze points individuels qui sont énumérés à l'article 13 du RGPD. Certains points sont faciles à cocher, par exemple l'indication du nom du responsable. Mais l'énumération d'autres droits des personnes concernées applicables dans chaque cas (par exemple le droit à l'effacement, à la limitation et à la portabilité des données) peut déjà poser des difficultés. Il peut également être très difficile de mentionner la base juridique exacte qui autorise le traitement des données. Il conviendra de préciser la norme juridique applicable. Si toutes les opérations de traitement sont couvertes par un consentement, il n'est pas nécessaire d'en rajouter. Toutefois, il est souvent nécessaire d'envisager d'autres traitements qui ne reposent pas sur le consentement.
La question de savoir ce qui doit s'appliquer lorsque deux normes peuvent intervenir en parallèle ou quelle est la conséquence juridique de l'oubli de la mention d'une norme juridique possible n'a pas encore été clarifiée.
En outre, la durée de conservation doit être indiquée. Cela obligera à repenser les processus existants, d'autant plus que dans de nombreuses entreprises, les e-mails de la boîte de réception ne seront probablement pas supprimés dans les délais prévus par la législation sur la protection des données. Selon les dispositions renforcées du RGPD, les données à caractère personnel doivent être supprimées dès qu'elles ne sont plus nécessaires à l'opération commerciale concernée.
Volontariat
Le RGPD renforce l'exigence du caractère volontaire du consentement (interdiction de couplage). Chaque fois qu'un consentement doit être obligatoirement donné, il peut à l'avenir manquer de caractère volontaire. Cela vaut d'autant plus que la situation à laquelle le consentement doit être donné est éloignée de la transaction commerciale proprement dite. Si, par exemple, dans le cadre d'un achat, il faut obligatoirement donner son consentement pour recevoir une newsletter, le consentement ne sera probablement pas valable, car il n'est pas volontaire.
Les anciens consentements sont-ils toujours valables ?
Étant donné que les exigences relatives aux consentements changent, la question se pose de savoir si les anciens consentements existants doivent tous être renouvelés. Le RGPD explique dans un considérant (non contraignant) que les anciens consentements restent valables s'ils satisfont déjà aux exigences du RGPD. Cela ne veut malheureusement pas dire grand-chose. En effet, il est plutôt évident que les consentements qui répondent aux exigences du RGPD restent valables. Mais qu'en est-il lorsque ce n'est pas le cas, par exemple en ce qui concerne les obligations d'information présentées ci-dessus ?
Heureusement, le cercle de Düsseldorf, un organe commun des autorités allemandes de protection des données, a décidé que les anciens consentements devaient rester valables même si les obligations d'information de l'article 13 du RGPD n'ont pas été respectées jusqu'à présent. Cela apporte un peu de clarté. Deux problèmes se posent toutefois : D'une part, la question se pose de savoir si l'avis des autorités allemandes de protection des données sera confirmé par les tribunaux dans toute l'Europe. D'autre part, le cercle de Düsseldorf ne mentionne que les obligations d'information de l'article 13 du RGPD. Or, l'information sur le droit de rétractation et ses conséquences n'est pas réglée par l'article 13 du RGPD, mais de manière centrale dans la norme avec les exigences relatives à une déclaration de consentement. Or, très peu de déclarations de consentement actuelles contiennent une telle information. Il devrait donc y avoir une incertitude quant à la validité des anciens consentements.
Même si les consentements donnés sur la base d'anciens textes de consentement peuvent rester valables, ces anciens textes de consentement ne pourront plus être utilisés à partir du 25.05.2018. En effet, la "protection des circonstances" s'applique au consentement donné et non à l'ancienne formulation du texte. Tant les formulaires de consentement sur papier que les textes de consentement sur les sites web doivent donc être vérifiés et - très probablement - adaptés.
Règlement sur la vie privée en ligne
Le RGPD doit être accompagné d'un règlement sur la vie privée en ligne qui contient de nombreuses règles relatives à Internet et à la technologie qui vont au-delà du RGPD. Il contient notamment des dispositions relatives au consentement en ce qui concerne le suivi des visiteurs de sites web et des dispositions relatives aux bannières de cookies. Le règlement E-Privacy n'est actuellement qu'à l'état de projet et entrera probablement en vigueur avec du retard. Cela n'est pas surprenant, car le règlement E-Privacy durcit considérablement de nombreuses situations, ce qui a suscité une certaine résistance. Ainsi, les cookies ne pourront être installés qu'avec le consentement. Toutefois, des simplifications sont également prévues en ce qui concerne le consentement, par exemple via des paramètres prédéfinis généraux dans le navigateur Internet. Il reste à voir quelle forme concrète prendra le règlement E-Privacy.