Consentement RGPD : quand une simple case à cocher embrase les réseaux sociaux

Le consentement est une des bases légales majeures qui insuffle au Règlement Général sur la Protection des Données (RGPD) une partie de sa raison d’être. Il s’agit non seulement d’un devoir moral mais également un nécessité économique pour les entreprises dans les décennies à venir.

Recueillir le consentement est ainsi une étape obligatoire pour ces dernières afin de s’assurer que les données soient traitées avec respect des droits et libertés individuelles, quelles qu’en soient les finalités. Cette démarche s’inscrit au delà de la protection des données à caractère personnel prévue par le RGPD, en allant jusqu’au respect absolu des droits des personnes sous la supervision du Délégué à la Protection des Données (DPO).

Mais il n’est pas non plus question de le recueillir à n’importe quel prix.

Il faut que ce consentement ait du sens autant pour les utilisateurs que pour les entreprises : il doit être libre, éclairé, spécifique et univoque.

Une mise en demeure pour des erreurs simples par une autorité de contrôle est vite arrivée.

Et c’est exactement ce qu’il s’est passé avec EDF et ENGIE concernant leurs bornes LINKY.

En utilisant une seule case pour recueillir le consentement relatif à plusieurs traitements, ce dernier s’est avéré erroné … Ce qui n’a pas été du goût de la CNIL.

Au-delà de l’enjeu éthique que cet insidieux traitement de données de consommation fines soulève, c’est un véritable bad buzz pour EDF et ENGIE qui subissent la colère de leurs clients sur les réseaux sociaux …

Evolution du #Linky sur Twitter suite l'annonce de la mise en demeure

Découvrez en plus sur la mise en demeure de Engie & EDF

En savoir plus

Comment s’assurer de la conformité de votre recueil de consentement

Le consentement doit être libre

La personne concernée doit absolument avoir le choix d’accepter ou de refuser le traitement de ses données personnelles.

Ce choix doit pouvoir être retiré tout aussi librement et à tout moment par la personne concernée par le traitement des données.

Attention à donc veiller à ce que l’accès au consentement soit facile.

Le consentement doit être spécifique

L’acceptation du traitement concerne ce traitement spécifique, qu’il vous faut avoir décrit, et pas un autre.

Vous me suivez toujours ?

Autrement dit, le traitement poursuit un objectif précis que la personne accepte.

A titre d’illustration, ENGIE et EDF ont recueilli le consentement des abonnés via une seule case à cocher alors que ce dernier portait sur deux traitements de données distincts. Il s’ensuit que le consommateur n’était pas en mesure de dissocier son consentement.

Le consentement doit être éclairé

La demande de consentement doit être formulée en des termes clairs et simples.

Sur ce point, EDF présentait les données relatives à la consommation quotidienne et à la demi-heure comme équivalentes. Le consommateur ne pouvait donc pas percevoir la différence tenant au fait que les données recueillies dans un laps de temps plus court impactent plus fortement sa vie privée.

N’hésitez pas à définir les termes susceptibles d’être confus pour les destinataires de l’information afin que cette dernière soit suffisamment précise pour faire comprendre la portée de son acceptation.

Ainsi, la transparence est garantie !

Le consentement doit être univoque

L’acte de consentement doit être positif et clair.

Exemples :

  • Une déclaration manuscrite signée
  • Une case à cocher

Certaines pratiques sont interdites et viennent invalider votre recueil :

  • Des cases précochées ou pré-activée
  • Plusieurs traitements au sein d’une case

Ainsi, la maxime « Qui ne dit mot consent » n’est pas applicable pour une conformité en bonne et due forme

Fixer une durée de conservation, c’est bien, mais qu’elle soit la plus courte possible, c’est mieux !

Vos contacts ont consenti à ce que vous traitiez leurs données ?

C’est un premier pas. Mais ne les conservez pas trop longuement pour autant. Car vous êtes désormais responsable de la sécurité de ces données, qui courent de facto un risque. Sécuriser le traitement de données à caractère personnel est donc une priorité, d’autant plus s’il s’agit de données sensibles, en cas de traitement particulièrement risqués (transferts …) ou lorsque plusieurs acteurs participent au traitement (responsable du traitement, DPO, sous-traitants, prestataires …).

Dans l’affaire Linky, il s’agit du deuxième point soulevé par la CNIL. EDF et Engie ont conservé les données de consommations électriques collectées sur une période trop longue pour pouvoir être justifiée. De quoi rajouter de l’huile sur le feu d’une colère déjà bien présente chez les personnes concernées …

La leçon qu’il faut en tirer : Conservez le moins longtemps possible les données que vous traitez. Vous n’en obtiendrez que des avantages, notamment en matière d’image auprès de vos clients.

Le plus difficile reste bien sûr de réussir à trouver le juste équilibre entre durée de conservation et raison pour laquelle vous traitez les données. Mais une fois ces durées établies et respectées, une chose est sûre : vous vous inscrirez dans une démarche éthique, respectueuse des données personnelles, ce qui, à l’ère de la protection des données, est une véritable plus-value auprès de vos clients.

Durée de conservation à respecter par votre responsable de traitement