RGPD : A quel moment et pour quels traitements demander le consentement ?
2 octobre 2018.
Le 25 juin dernier, la CNIL a mis en demeure deux sociétés pour défaut de recueil du consentement des intéressés au traitement de leurs données, notamment de géolocalisation, à des fins de ciblage publicitaire (délibérations 2018-022 et 2018-023).
La CNIL rappelle ainsi qu’elle entend contrôler strictement la licéité des traitements reposant sur le recueil du consentement des intéressés et apporte un éclairage complémentaire sur l’appréciation de la qualité du responsable de traitement, ici reconnue au profit de sociétés spécialisées dans l’adressage de publicités ciblées pour le compte d’enseignes partenaires.
Les faits:
La CNIL a effectué des missions de contrôle auprès de deux sociétés qui avaient développé une activité permettant de collecter des données personnelles des utilisateurs de smartphones et de réaliser des campagnes de sollicitations ciblées sur leurs téléphones mobile en lien avec les enseignes partenaires à proximité. Un dispositif de géolocalisation intégré aux applications mobiles avait été mis en place à cet effet.
Après avoir qualifié les sociétés concernées de responsable de traitement en raison de leur rôle actif dans la détermination des finalités et des moyens des traitements et de ce qu’elles utilisent pour leur propre compte des données ainsi obtenues à des fins de ciblage, la CNIL a reconnu le manquement de base légale de ces traitements.
L’absence de base légale en raison du défaut de consentement conforme.
Le consentement ayant été invoqué par les sociétés comme base légale des traitements de données personnelles ainsi opérés, la CNIL a considéré que celui-ci faisait défaut.
- Le consentement n’était ni informé, ni libre, ni spécifique
La CNIL a relevé que les utilisateurs de l’application mobile des partenaires n’avaient été informés, ni du traitement mis en œuvre à des fins de ciblage publicitaire, ni de l’identité du responsable de traitement.
Elle a en outre considéré que les utilisateurs ne disposaient pas de la liberté d’y consentir librement en ce que le traçage n’était pas dissociable de l’utilisation des applications partenaires.
Qu’enfin, le recueil du consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire n’était pas spécifique car intégré à l’installation des applications mobiles des partenaires.
Pour ces raisons, la CNIL a considéré ce consentement non conforme et par voie de conséquence le traitement dépourvu de base légale.
Nos préconisations
Le consentement doit correspondre à « une manifestation de volonté libre, spécifique, éclairée et univoque».
Ainsi, si votre traitement a pour base légale le consentement des personnes concernées, veillez tout particulièrement à ce qu’il soit:
- Informé: Par une information complète en amont du traitement des données (exhaustivité des finalités envisagées, identité du responsable de traitement, des catégories de données collectées, de l’éventuel transfert des données hors de l’Union européenne et droit de le retirer à tout moment).
Cette information doit être claire, compréhensible et aisément accessible. Plus le traitement est complexe, ce qui était le cas en l’espèce, plus les informations doivent être précises, ce qui n’était pas le cas.
- Libre: Un refus de consentement ne doit pas avoir d’incidence sur l’exécution d’un contrat ou la fourniture d’un service. La liberté de choix de l’intéressé implique qu’il n’est pas influencé Ainsi, son consentement n’est pas libre si son refus de consentir le limite dans l’utilisation du dispositif ou en cas de déséquilibre manifeste entre l’intéressé et le responsable de traitement.
- spécifique: Le consentement ne doit pas être recueilli de manière générale et doit porter sur chacune des finalités envisagées de manière distincte. Son recueil doit être opéré distinctement d’autres éventuelles questions.
En complément :
- Le consentement implique un acte positif et univoque (case à cocher non pré-cochée)
- Il doit pouvoir être retiré à tout moment et aussi simplement qu’il a été donné.
- Attention, si le traitement repose sur cette seule base légale, il ne sera plus licite à compter du retrait de consentement.
- Constituez-vous des preuves, en documentant toutes les mentions d’informations, en procédant à un recueil de consentement par écrit et en conservant les traces de l’acceptation.
- Le consentement requis auprès de mineurs en deçà de 16 ans (15 ans en France) doit être accompagné, voire remplacé pour les moins de 13 ans, par celui du titulaire de l’autorité parentale. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.
- Le consentement, fondement de la licéité de traitement, est à distinguer du consentement explicite dans le cas de collecte de données sensibles.
Claudia Weber, Avocat Fondateur & Odile Jami-Caston, Directrice du Pôle “Protection des données personnelles”
Nous contacter