Clôture de la mise en demeure de la CNIL à l’encontre de Vectaury : le consentement des intéressés est une base juridique fragile
8 avril 2019.
Par courrier du 25 février 2019, la présidente de la CNIL procède à la clôture de la mise en demeure prononcée le 30 octobre 2018 à l’encontre de la société Vectaury, laquelle propose des solutions de ciblage publicitaire à partir de la géolocalisation des téléphones portables des intéressés.
A l’issue d’une mission de vérification sur place, la CNIL avait, comme elle l’a fait à plusieurs reprises, considéré que le dispositif de géolocalisation mis en place était dépourvu de base légale au motif d’un consentement non valide des personnes concernées.
Pour rappel, le RGPD définit le consentement de la personne comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair que des données à caractère personnel la concernant fassent l’objet d’un traitement“. En l’espèce, la pré-acceptation par défaut de plusieurs finalités de traitement retenue par la société Vectaury ne lui permettait pas de répondre aux critères de validité du consentement prévus par le texte.
Tenue de mettre en place des mesures correctives au recueil du consentement des intéressés dans les trois mois de la mise en demeure de la CNIL, la société Vectaury a modifié la présentation de la fenêtre contextuelle de l’application, de sorte à permettre une information claire quant aux finalités de traitement envisagées, et mis en place des boutons dédiés tendant à un consentement informé, spécifique et univoque des personnes. Ainsi informée de ces nouvelles mesures, la CNIL a considéré que le recueil de consentement à des fins de publicité géolocalisée était désormais conforme au RGPD.
Cette décision intervient quelques semaines après le prononcé par la CNIL d’une sanction pécuniaire record à l’encontre de la société Google LLC, en raison du manquement de base légale pour défaut de consentement valide.
Le consentement des personnes concernées, figurant au titre des six bases juridiques pouvant être envisagées pour asseoir la licéité d’un traitement, est particulièrement fragile. En effet, au-delà des conditions strictes au respect de sa validité, son retrait, possible à tout moment, a pour conséquence d’invalider la base légale du traitement de données qui lui serait ultérieur.
Ainsi, le recours à une autre base légale aura l’avantage d’éviter cette source d’instabilité.
Pour autant, le cabinet ITLAW Avocats formule plusieurs préconisations pour recueillir un consentement valide à savoir libre, spécifique, éclairé et univoque.
Tout responsable de traitement doit ainsi :
- soigner le parcours utilisateur afin que ce dernier dispose d’une information claire et compréhensible sur la façon dont seront traitées ses données,
- mettre en place un moyen de recueillir la volonté éclairée des intéressés de manière positive (exclure les cases pré-cochées),
- veiller à ce que ce consentement soit spécifique (bannir les formules du type “tout accepter”),
- conserver la preuve des consentements ainsi recueillis,
- enfin, la France a fait le choix de fixer à 15 ans l’âge minimal pour exprimer un consentement valable en matière de traitement de données à caractère personnel dans le cadre des services de la société d’information. En deçà, la loi Informatique et Libertés impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.
Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance
#Protection des données personnelles
Nous contacter