GDPR (9) Autorisation de la personne concernée

29 septembre 2017

Le meilleur fondement pour le traitement légal des données à caractère personnel est d’obtenir l’autorisation de la personne concernée. Dans la pratique, cela n’est toutefois pas évident. Et comme cette autorisation peut être retirée à tout moment, ce fondement juridique comporte une certaine incertitude.

L’autorisation est depuis longtemps ancrée dans la législation relative à la protection de la vie privée, mais les règles sont devenues de plus en plus strictes au fil des ans. À l’origine, une sorte d’accord tacite était possible, souvent dans le cadre d’un contrat plus vaste et sans objectif bien défini. S’en est suivie l’obligation de pouvoir retirer cette autorisation (le fameux « opt out »). Aujourd’hui, le GDPR définit toute une série de conditions à remplir pour pouvoir parler d’une autorisation légalement valable (« opt in »). L’autorisation doit être donnée de manière volontaire, active, informée, clairement spécifiée, et elle doit pouvoir tout aussi facilement être retirée.

Volontaire

L’autorisation de la personne concernée ne peut être utilisée comme fondement juridique s’il n’y a pas de rapport équilibré entre le responsable et la personne concernée. Cela vaut par exemple pour la relation entre le travailleur et l’employeur. En effet, le travailleur n’est généralement pas en mesure de refuser.

L’autorisation ne peut non plus être liée à l’octroi d’un service, sauf si les données sont directement nécessaires à l’exécution du contrat. Dans ce cas, la nécessité contractuelle constitue le fondement juridique, et il est préférable, pour que les choses soient claires, de ne pas demander d’autorisation. L’autorisation pour l’utilisation des données dans le cadre de campagnes marketing et publicitaires ultérieures ne peut faire partie d’un contrat à conclure ou de conditions générales. Pour le GDPR, cela n’est valable que si les deux actes peuvent être séparés.

Active

La personne concernée doit faire une déclaration claire ou poser un acte actif indiquant qu’elle donne son autorisation pour un traitement donné. À cet égard, toute méthode ou tout mode de travail adéquat est autorisé. Le GDPR énumère même les méthodes les plus courantes : accord verbal ou écrit pour marquer son accord, case à cocher sur laquelle il faut cliquer ou activation d’un paramètre dans un navigateur ou une app. Ce qui est nouveau, c’est que le GDPR exclut explicitement que cet accord soit tacite ou découle de l’inactivité. Une case préalablement cochée est par exemple exclue. Ne pas utiliser une fonction « opt-out » ou un bouton « unsubscribe » ne constitue pas non plus une autorisation valable. Il s’agit là d’une condition très importante pour toutes les organisations qui développent des campagnes de marketing direct.

Informée

La personne concernée doit recevoir, avant que son accord ne lui soit demandé, des informations détaillées sur l’identité du responsable, les traitements prévus, l’objectif, le fondement légal et les mesures prises pour protéger ses données. Cela doit se faire de manière honnête, en des termes clairs et simples. Il doit y avoir un lien clair entre l’objectif, les données nécessaires à cet effet et l’autorisation à donner. Une forme adéquate pour cette communication est par exemple une déclaration détaillée de respect de la vie privée. Nous évoquerons dans un prochain article les informations qui doivent y figurer et comment les mettre de préférence à la disposition des personnes concernées.

Spécifique et sans ambiguïté

L’autorisation pour le traitement des données à caractère personnel est toujours donnée pour un objectif spécifique. Le responsable ne peut donc utiliser les données à d’autres fins, sauf si le nouvel objectif est très proche de l’objectif de départ. Un bon exemple : le fait de contacter un ancien client ou un client existant pour l’informer d’un produit ou d’un service apparenté à ce qu’il a déjà acheté par le passé.

Une attention particulière est nécessaire si vous envisagez de combiner les données d’une autre manière ou de les utiliser à une toute autre fin. Dans ce contexte, le datamining pose problème. Cette technique est régulièrement utilisée notamment dans le marketing pour découvrir des modèles possibles ou des liens inattendus dans de grandes quantités d’informations. De ce fait, il n’y a pas d’objectif établi. Le GDPR permet, dans les cas de la réutilisation des données, une certaine latitude pour un assouplissement. Il est possible de demander l’autorisation explicite de la personne concernée lors de la prochaine utilisation des données.

L’autorisation peut être retirée

Dans tous les cas, vous devez informer la personne concernée du fait qu’elle a toujours la possibilité de retirer son autorisation. Cela doit pouvoir se faire par le biais d’un acte simple, aussi facilement que pour l’octroi de l’autorisation. Désormais, le GDPR impose clairement cette obligation au responsable.

Bien que cette approche semble logique et équitable, sa mise en pratique n’est pas toujours aussi évidente. En particulier parce que la GDPR oblige le responsable à démontrer clairement que les personnes concernées ont bel et bien donné leur autorisation. Nous donnerons des conseils concrets à ce sujet plus tard dans ce blog.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse  gdpr@groupjoos.com

LOADING