Après avoir examiné à quel moment il est opportun d'obtenir le consentement, il est temps d'examiner de plus près les moyens d'obtenir le consentement.
Comment le consentement doit-il être obtenu ?
Le consentement est défini par le RGPD comme "toute indication librement donnée, spécifique, informée et non ambiguë de la volonté de la personne concernée par laquelle elle marque, par une déclaration ou par une action affirmative claire, son accord pour le traitement de données à caractère personnel la concernant".
Bien que la définition précédente en droit communautaire ne contenait pas cette notion de "déclaration" ou d'action positive claire", le groupe de travail "Article 29" a précédemment indiqué dans son avis 15/2011 sur la définition du consentement c'est :
- Il convient de préciser que l'utilisation d'options par défaut que la personne concernée est tenue de modifier afin de refuser le traitement (consentement fondé sur le silence) ne constitue pas en soi un consentement non équivoque" ;
- "Les mots "indication" et "signifie" indiquent qu'une action est effectivement nécessaire (par opposition à une situation où le consentement pourrait être déduit d'une absence d'action)".
- En d'autres termes, le consentement implique nécessairement une action positive, mais quel type d'action positive ?
Il peut s'agir d'une case à cocher, d'une signature ou du fait de "déposer une carte de visite dans un bol en verre", à condition (i) qu'il puisse être "librement donné" ou refusé sans préjudice, (ii) qu'il soit "spécifique" à un champ d'application clairement défini, (iii) qu'il suive une information "au moins de l'identité du responsable du traitement et des finalités" et (iv) qu'il soit "sans ambiguïté".
Selon cette définition, l'acceptation de conditions générales, de cases cochées, d'informations assorties d'un droit d'opposition ou de paramètres du navigateur Internet qui sont réglés par défaut pour collecter des données ne doit pas être considérée comme un consentement. En revanche, le groupe de travail "article 29" a confirmé - dans son récent projet de lignes directrices WP 29 sur le consentement - que "le fait de passer sur un écran, de renoncer devant une caméra intelligente, de tourner un smartphone dans le sens des aiguilles d'une montre ou de faire un mouvement en huit peut-être une option pour indiquer un accord".
En outre, dans son guide UX sur l'obtention du consentement, l'IAPP indique qu'un véritable choix actif de la part de la personne concernée implique de fournir des options qui "motivent une décision" et interdit les options par défaut et les cases pré-cadrées (que ce soit une option d'acceptation ou de refus) ainsi que les choix promus (lorsque la décision semble prédéfinie par la couleur, le libellé, l'emplacement sur la page, etc.)
Consentement VS consentement explicite
D'autre part, le RGPD fait une différence entre "consentement" et "consentement explicite" (ce dernier étant requis pour les décisions automatiques, les données sensibles et les transferts).
Pour le groupe de travail "article 29" et depuis 2011, le consentement "explicite" (également appelé "explicite") englobe les situations "dans lesquelles les personnes se voient proposer d'accepter ou de refuser une utilisation ou une divulgation particulière de leurs informations personnelles et répondent activement à la question, oralement ou par écrit" ; l'autre type de consentement doit être sans ambiguïté et englobe "les actions qui visent à indiquer l'accord".
En d'autres termes, le consentement explicite nécessite la "déclaration" susmentionnée (par exemple, "J'accepte le traitement de mes données par ... pour ...") tandis que le consentement non ambigu nécessite une "action affirmative claire" (par exemple, l'envoi des données requises après information sur la manière dont elles seront traitées). Cela a été confirmé en décembre 2017 par le même groupe de travail "article 29" qui a précisé que dans un contexte numérique, une personne pouvait faire cette déclaration "en remplissant un formulaire électronique, en envoyant un courrier électronique, en téléchargeant un document scanné portant la signature de la personne concernée ou en utilisant une signature électronique".
Le cas de la navigation
Dans une décision 2013-378 relative aux cookies, l'autorité française de protection des données (la CNIL) a considéré que le fait de cliquer sur un élément d'un site web - après avoir été informé qu'un tel acte implique le consentement à l'installation de cookies sur son dispositif - constitue un consentement non équivoque.
⚠ Mise à jour octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page dédié au sujet Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs.
Cette situation mérite d'être éclaircie car elle soulève un certain nombre de questions.
Cette option sera-t-elle toujours considérée comme une action positive claire dans le cadre du RGPD ? Cliquer sur le site web est certainement une action positive, mais affirme-t-elle le fait que la personne concernée accepte l'installation de cookies ou simplement qu'elle souhaite accéder au contenu du site web ? Cela est d'autant plus paradoxal si l'on considère que pour accéder au site web sans installation de cookies, une personne concernée doit, en réalité, entreprendre une action positive pour refuser les cookies en configurant ses paramètres ou en se désactivant en conséquence avant de naviguer.
Étant donné que la définition du consentement n'a pas tellement changé dans le cadre du RGPD, les solutions adoptées précédemment ne pouvaient - théoriquement parlant - pas évoluer. On peut également noter que si la première version du RGPD adoptée par le Parlement européen le 12 mars 2014 mentionnait au §25 de son préambule que "le silence, la simple utilisation d'un service ou l'inactivité ne devrait donc pas constituer un consentement", la formulation "simple utilisation d'un service" est devenue "cases pré-cadrées" dans la version finale et a donc laissé la porte ouverte à la navigation pour être considérée comme un consentement.
Pourtant, il semble que les institutions de protection des données combleront cette lacune. Par exemple, l'autorité britannique de protection des données - dans son guide sur le consentement daté de mars 2017 - a clairement mentionné que "tout consentement doit être un consentement "opt-in" - il n'existe pas de "consentement "opt-out"". Le fait de ne pas se désengager n'est pas un consentement".
Vous voulez savoir plus sur la réglementation britannique ? Voici un article sur ce sujet, Vos sites web et apps sont-ils conformes ? Un regard sur la réglementation britannique sur le consentement des cookies.
Plus important encore, le groupe de travail "article 29" a indiqué - dans son projet de lignes directrices WP259 sur le consentement - c’est:
- " L'exigence de consentement "ordinaire" dans le GDPR est déjà portée à un niveau plus élevé que l'exigence de consentement de la directive 95/46/CE " ;
- "Le silence ou l'inactivité de la personne concernée, ainsi que la simple exécution d'un service ne peuvent être considérés comme une indication active de choix" ;
- "Le fait de faire défiler vers le bas ou de passer en revue les conditions générales qui comprennent des déclarations de consentement (lorsqu'une déclaration apparaît à l'écran pour avertir la personne concernée que la poursuite du défilement constitue un consentement) ne satisfait pas à l'exigence d'une action claire et positive".
En outre, certains éléments pratiques peuvent amener les entités à modifier leurs habitudes actuelles :
- la nécessité de démontrer le consentement aux autorités (ce qui peut s'avérer techniquement difficile lorsque l'utilisateur a simplement cliqué sur le site web) ;
- l'exigence selon laquelle il doit être aussi facile de retirer son consentement que de le donner (comment le retrait du consentement peut-il être aussi facile que de le faire défiler vers le bas ?)
- La nécessité d'obtenir un consentement qui prévaut sur les paramètres de confidentialité existants recueillis par les navigateurs (le groupe de travail "Article 29" a indiqué dans son avis 1/2017 que "les types implicites de "consentement", tels qu'un clic sur le site web ou le défilement de la page, ne peuvent prévaloir sur les choix relatifs au stockage et au signal DNT").
Bien sûr, comme les équipes commerciales traitent généralement beaucoup mieux l'acceptation tacite que l'acceptation active, cela créera très probablement des choix difficiles dans certains secteurs.
Vous voulez assurer la conformité avec le RGPD tout en continuant à optimiser la monétisation ? Organisez une démo avec Didomi !