📝 👩‍🏭 🤰 GDPR: Consentement au traitement des données personnelles 😗 🤡 🙆

Il s'agit d'une traduction du manuel de consentement officiel pour le traitement des données personnelles (Lignes directrices sur le consentement en vertu du règlement 2016/679 wp259rev.01) du groupe de travail de la Commission européenne. L'original est publié dans 23 langues officielles de l'Union européenne. Bien que le russe n'en fasse pas partie, il est très courant en Europe. Si votre entreprise sert des clients de l'UE, vous êtes obligé de vous conformer au Règlement général sur la protection des données personnelles ( Règlement général sur la protection des données ), entré en vigueur le 25 mai 2018.

Le consentement au traitement des données personnelles est la première chose que votre client rencontre. Malgré sa simplicité apparente, le Guide compte 30 pages et pose toujours des problèmes: les fuites de données personnelles sur les sites Internet de l'UE varient de 12% à 41% , et les amendes des régulateurs de milliers à des dizaines de millions d'euros. Les grandes entreprises dotées d'avocats et d'ingénieurs ont la capacité de réagir rapidement aux changements de l'environnement des affaires, mais les entrepreneurs individuels et les petites entreprises ne doivent souvent compter que sur eux-mêmes, en prenant tous les risques.

L'auteur a tenté de rapprocher le plus possible les dispositions du Guide de l'original, en adoucissant les écritures particulièrement dures. La traduction est réalisée à partir des originaux en deux langues, n'a aucune valeur légale. L'auteur ne fournit aucune garantie et n'est responsable d'aucune réclamation, perte ou perte de profit. Mais il sera heureux de recevoir des commentaires judicieux et des améliorations de formulation.

1. Introduction

Ce guide fournit une analyse approfondie du concept de consentement contenu dans le règlement 2016/679 - Règlement général sur la protection des données personnelles (RGPD). À ce jour, le concept de consentement utilisé dans la directive sur la protection des données (directive 95/46 / CE) et la directive sur la confidentialité et les communications électroniques (directive 2002/58 / CE) a évolué. Le RGPD fournit des éclaircissements et des clarifications supplémentaires sur les conditions d'obtention et de démonstration d'un consentement juridiquement contraignant. Ce guide se concentre sur ces changements, offrant des conseils pratiques sur la façon d'assurer la conformité au RGPD, sur la base de la Conclusion 15/2011. Le devoir des responsables du traitement des données personnelles est d'introduire des innovations et de rechercher de nouvelles solutions dans le cadre de la loi,qui contribuent à la protection des données personnelles et aux intérêts des personnes concernées.

Conformément à l'article 6 du RGPD, le consentement est l'un des six motifs de traitement légitime des données personnelles. Lors du démarrage d'activités liées au traitement de données à caractère personnel, le responsable du traitement doit toujours tenir compte de la base juridique du traitement prévu.

En règle générale, le consentement ne peut être une raison légitime que si la personne concernée se voit offrir le contrôle et le libre choix concernant l'acceptation ou le rejet des conditions proposées sans conséquences négatives. Lors de la demande de consentement, le responsable du traitement doit évaluer s'il se conformera à toutes les exigences disponibles. Consentement obtenu en pleine conformité avec le RGPD, c'est un outil qui permet aux personnes concernées de contrôler si leurs données personnelles seront traitées ou non. Sinon, la personne concernée n'aura pas de contrôle réel, et un tel consentement est considéré comme une base illégale pour le traitement.

Les conclusions existantes du groupe de travail (WP29) sur le consentement restent pertinentes tant qu'elles sont conformes à la nouvelle législation, car les directives et recommandations codifiées du RGPD, ainsi que les éléments clés du consentement, restent inchangés dans le RGPD. Ainsi, dans ce document, le WP29 étend et complète plutôt les conclusions précédentes sur des aspects spécifiques du consentement, qui se réfèrent à l'accord dans l'interprétation de la directive 95/46 / CE, et ne les remplacent pas.

Comme indiqué dans la conclusion 15/2011 sur la définition du terme consentement, la proposition d'accepter une opération de traitement de données doit être soumise à des règles strictes, en ce qui concerne les libertés fondamentales des personnes concernées et la volonté du responsable du traitement de participer à ces opérations, ce qui serait illégal sans le consentement de la personne concernée. Le rôle crucial du consentement est souligné dans les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne. En outre, le consentement obtenu n'exclut pas et ne modifie en rien l'obligation du responsable du traitement de se conformer aux principes consacrés par le RGPD, en particulier à l'article 5, en ce qui concerne l'équité, la nécessité, la proportionnalité et la qualité des données. Même si le traitement des données personnelles est basé sur le consentement de la personne concernée, il ne légalise pas la collecte de données qui ne sont pas nécessaires à la finalité déclarée du traitement, devenant ainsi injuste.

Dans le même temps, le WP29 a connaissance de la révision de la directive 2002/58 / CE. Le concept de consentement dans le projet de cette directive est toujours conforme au RGPD. Les organisations sont susceptibles d'exiger le consentement pour la plupart des messages marketing, des appels et des méthodes de suivi Internet, y compris l'utilisation de cookies, d'applications ou d'autres logiciels. Concernant le consentement, le WP29 a déjà soumis ses propositions et orientations au législateur européen.

Concernant la version actuelle de la directive 2002/58 / CE, le WP29 note que les références à la directive abrogée 95/46 / CE doivent être interprétées comme des références au RGPD. Cela s'applique également aux références au consentement dans la directive 2002/58 / CE, car elle expire le 25 mai 2018. Selon l'article 95 du RGPD, les obligations dans le cadre de la fourniture de services électroniques accessibles au public dans les réseaux de communications publics ne sont pas considérées comme des conditions juridiques «supplémentaires», mais plutôt préliminaires. Par conséquent, les exigences pour obtenir le consentement dans le RGPD sont également applicables dans les situations dans le cadre de la directive 2002/58 / CE.

2. Consentement à l'article 4, paragraphe 11, du RGPD

L'article 4, paragraphe 11, du RGPD définit le consentement comme suit: «une expression volontaire, spécifique, informée et sans équivoque de volonté dans laquelle la personne concernée, par une déclaration ou une action affirmative claire, donne son consentement au traitement de ses données personnelles».

La compréhension de la base du consentement reste la même que dans la directive 95/46 / CE, et le consentement est l'un des motifs juridiques sur lesquels le traitement des données à caractère personnel conformément à l'article 6 du RGPD devrait être fondé. Outre la définition modifiée de l'article 4, paragraphe 11, le RGPD fournit des indications supplémentaires à l'article 7 et aux paragraphes 32, 33, 42 et 43 concernant la manière dont le responsable du traitement doit agir pour garantir le respect des éléments du consentement.

Enfin, l'inclusion de règles spécifiques sur le retrait du consentement confirme que le consentement doit être une décision réversible et contrôlée par la personne concernée.

3. Éléments du consentement juridique

L'article 4, paragraphe 11, du RGPD définit le consentement du sujet comme:

volontaire
spécifique
informé et
une expression de volonté non ambiguë, dans laquelle la personne concernée, à l'aide d'une déclaration ou d'une action positive claire, donne son consentement au traitement de ses données personnelles.

Les analyses suivantes indiquent dans quelle mesure l'article 4, paragraphe 11, du RGPD exige des responsables du traitement qu'ils modifient leurs demandes / formulaires de consentement pour garantir la conformité avec le RGPD.

3.1. Volontaire

Cet élément implique un véritable choix et contrôle pour les personnes concernées. Le RGPD prévoit que si la personne concernée n'a pas vraiment le choix, se sent obligée d'accepter ou de subir des dommages en ne l'acceptant pas, un tel consentement est considéré comme illégal. Si le consentement est inclus dans les conditions de service comme une partie invariable de celui-ci, il n'est pas considéré comme volontaire. En conséquence, le consentement n'est pas considéré comme volontaire si la personne concernée ne peut le refuser ou le retirer sans conséquences négatives pour elle-même. La notion de déséquilibre entre le responsable du traitement et la personne concernée est également prise en compte dans le RGPD.

Lorsqu'on évalue si le consentement a été donné volontairement, il convient également de tenir compte de la situation spécifique dans laquelle il est associé aux accords de service, comme décrit à l'article 7, paragraphe 4. L'article 7, paragraphe 4, est libellé de manière inexacte avec les mots «en particulier», ce qui signifie qu'il peut y avoir un certain nombre de situations qui relèvent du champ d'application de cette règle. En général, tout élément de pression ou d'influence sur une personne concernée (qui peut se produire de diverses manières) qui empêche la personne concernée d'exercer son libre arbitre, rend le consentement illégal.

1

GPS- . , . , . , .

3.1.1.

Le paragraphe 43 indique clairement qu'il est peu probable que les agences gouvernementales puissent s'appuyer sur le consentement, car lorsque l'État est le responsable du traitement des données, il existe souvent un déséquilibre manifeste dans la relation entre lui et la personne concernée. En outre, dans la plupart des cas, il est clair que la personne concernée n'a pas de véritables alternatives à l'acceptation des conditions d'un tel responsable du traitement. Le WP29 considère qu'il existe d'autres fondements juridiques qui, en principe, conviennent mieux aux activités des organes de l'État.

Cependant, l'utilisation du consentement comme base juridique pour le traitement des données par les autorités gouvernementales ne fait pas exception au RGPD. Les exemples suivants montrent que le consentement peut être approprié dans certaines circonstances.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

Un déséquilibre apparaît également dans le contexte de l'emploi. Compte tenu de la relation entre l'employeur et le salarié, il est peu probable que la personne concernée puisse refuser son consentement à traiter les données personnelles sans crainte ni risque de conséquences négatives du fait du refus. Il est peu probable qu'un employé accepte volontairement, par exemple, d'activer des systèmes de surveillance, tels que des caméras de surveillance sur le lieu de travail, ou de remplir des formulaires d'évaluation sans subir de pression. Ainsi, le WP29 considère qu'il est problématique pour les employeurs de traiter les données personnelles des employés sur la base du consentement, car il peut difficilement être considéré comme des données volontaires. Pour la plupart des cas de traitement de données en production, le consentement des travailleurs (article 6, paragraphe 1, point a) du RGPD) ne peut pas être une raison légitime en raison de la nature de la relation.

Cependant, cela ne signifie pas que les employeurs ne peuvent pas s'appuyer sur le consentement comme base juridique pour le traitement des données personnelles. Il peut arriver que l'employeur démontre que le consentement est effectivement donné volontairement. Étant donné le déséquilibre entre l'employeur et ses employés, les employés ne peuvent donner leur consentement que volontairement dans des circonstances où cela n'aura pas de conséquences négatives, qu'ils donnent ou non leur consentement.

Exemple 5

Une équipe de tournage filmera dans une partie spécifique du bureau. L'employeur demande à tous les employés qui travaillent dans ce domaine de donner leur consentement au tournage, car ils peuvent apparaître en arrière-plan de la vidéo. Ceux qui ne veulent agir en aucune façon ne sont pas punis, mais reçoivent à la place des emplois équivalents dans une autre partie du bureau pendant la durée du tournage.

Le déséquilibre ne se limite pas uniquement aux organismes publics et aux employeurs, il peut également se produire dans d'autres situations. Le WP29 souligne que le consentement n'est légal que si la personne concernée est en mesure de faire de vrais choix sans risque de fraude, d'intimidation, de coercition ou de conséquences négatives. Le consentement ne sera pas volontaire lorsqu'il y a un élément de contrainte, de pression ou d'incapacité à exercer son libre arbitre.

3.1.2. Optionnel

L'article 7, paragraphe 4, du RGPD joue un rôle important pour évaluer si un consentement est volontaire. Elle indique en particulier qu'il est hautement indésirable de «lier» le consentement à l'acceptation des conditions de service ou de «lier» la fourniture du service à une demande de consentement pour traiter des données personnelles qui ne sont pas nécessaires à l'exécution du contrat. Le consentement donné dans une telle situation n'est pas considéré comme volontaire (paragraphe 43). L'article 7, paragraphe 4, vise à garantir que la finalité du traitement des données à caractère personnel n'est pas déguisée ou associée à un contrat pour lequel ces données ne sont pas nécessaires. Le RGPD fait valoir que le traitement des données personnelles pour lesquelles le consentement est demandé ne peut pas, directement ou indirectement, devenir une demande reconventionnelle.Deux raisons du traitement légitime des données personnelles - le consentement et la prestation de services - ne peuvent être combinées et brouillées.

La contrainte de consentir à l'utilisation des données personnelles au-delà des limites nécessaires limite le choix de la personne concernée et entrave l'exercice du libre arbitre. Étant donné que la loi cherche à protéger les droits fondamentaux, le contrôle des données est essentiel. Il est soutenu que le consentement à l'utilisation de données personnelles au-delà de ce qui est nécessaire ne peut pas être une hypothèse obligatoire en échange de l'exécution d'un contrat ou de la prestation de services.

Chaque fois que le consentement est lié à l'exécution du contrat, la personne concernée, qui ne souhaite pas fournir de données personnelles, risque de recevoir un déni de service.

Afin d'évaluer s'il y a «contraignant» ou «contraignant», il est important de déterminer la portée du contrat et les données nécessaires à son exécution. Selon la conclusion 06/2014 WP29, l'expression «nécessaire à l'exécution du contrat» doit être interprétée de manière étroite. Le traitement doit être nécessaire pour exécuter un contrat avec chaque personne concernée. Par exemple, dans le cadre d'une boutique en ligne, il peut s'agir de l'adresse de livraison des marchandises ou des coordonnées de la carte de crédit. Dans le contexte de l'emploi, il peut s'agir d'informations sur les salaires et les coordonnées bancaires. Il doit exister un lien direct et objectif entre les données et la finalité de leur utilisation dans le contrat.

Si le responsable du traitement souhaite traiter les données personnelles qui sont réellement nécessaires à l'exécution du contrat, le consentement n'est pas une base obligatoire.

L'article 7, paragraphe 4, ne s'applique que dans les cas où les données demandées ne sont pas nécessaires à l'exécution du contrat et l'exécution dépend de la réception de ces données par le biais du consentement. À l'inverse, si les données sont nécessaires à l'exécution du contrat, l'article 7, paragraphe 4, ne s'applique pas.

Exemple 6 Une

banque demande aux clients le consentement pour permettre à des tiers d'utiliser leurs coordonnées à des fins de marketing direct. Cette activité n'est pas nécessaire à l'exécution du contrat et à la prestation de services ordinaires. Si le refus d'un client de donner son consentement entraîne un refus de fournir des services bancaires, la fermeture d'un compte ou une augmentation de la commission, ce consentement n'est pas considéré comme volontaire.

Mettre l'accent sur la faculté comme présomption d'absence de liberté de consentement montre que les conditions de sa survenance doivent être soigneusement vérifiées. Le terme «accorder le plus d'attention» à l'article 7, paragraphe 4, signifie que le responsable du traitement doit faire preuve d'une prudence particulière lorsque le contrat contient une demande de consentement au traitement des données à caractère personnel.

Étant donné que le libellé de l'article 7, paragraphe 4, n'est pas absolu, il peut y avoir des cas où le caractère facultatif ne rend pas le consentement illégal. Cependant, le mot «allégué» au paragraphe 43 indique que de tels cas seront extrêmement rares.

En tout état de cause, la charge de la preuve prévue à l'article 7, paragraphe 4, incombe au responsable du traitement. Cette règle reflète le principe général de responsabilité, qui s'applique à l'ensemble du RGPD. Cependant, lors de l'application de l'article 7, paragraphe 4, il sera plus difficile pour le responsable du traitement de prouver que la personne concernée a donné son consentement volontairement.

Le responsable du traitement peut faire valoir que l'organisation offre aux personnes concernées un véritable choix si elles peuvent choisir entre un service qui nécessite le consentement pour utiliser des données personnelles à des fins supplémentaires, et un service identique qui ne nécessite pas ce consentement. Tant qu'il est possible d'exécuter un contrat sans obtenir le consentement pour utiliser des données supplémentaires, il n'est pas considéré comme facultatif. Dans ce cas, les deux services doivent être pratiquement identiques.

Le WP29 considère que le consentement n'est pas considéré comme volontaire si le responsable du traitement affirme qu'il existe un choix entre un service qui requiert le consentement pour utiliser des données personnelles à des fins supplémentaires et un service identique d'un autre responsable du traitement qui n'exige pas ce consentement. Dans ce cas, la liberté de choix dépendra de la question de savoir si la personne concernée trouve les services pratiquement identiques. De plus, le responsable du traitement devra surveiller le marché pour garantir la validité continue de ce consentement, car un concurrent peut modifier le service ultérieurement. Par conséquent, un tel argument signifie que le consentement n'est pas conforme aux exigences du RGPD.

3.1.3. Détail

Un service peut comprendre plusieurs opérations de traitement de données à plusieurs fins. Dans de tels cas, les personnes concernées devraient pouvoir choisir dans quel but elles donnent leur consentement séparément. Conformément au RGPD, plusieurs consentements peuvent être demandés pour commencer à fournir un service.

Le paragraphe 43 précise que le consentement n'est pas considéré comme volontaire si le processus de réception ne permet pas aux personnes concernées de consentir à certaines transactions. L'article 32 se lit comme suit: «Le consentement couvre toutes les méthodes de traitement des données personnelles mises en œuvre pour atteindre le même objectif. Dans le cas où le traitement des données personnelles a plusieurs finalités, il est nécessaire d'obtenir le consentement de chacune d'elles. »

Si le responsable du traitement a combiné plusieurs objectifs de traitement et n'a pas essayé d'obtenir un consentement distinct pour chacun d'eux, cela signifie un manque de liberté. Les détails sont étroitement liés au besoin de concrétisation du consentement, qui est décrit dans la section 3.2. au dessous de. Lorsque le traitement des données est effectué à plusieurs fins, une condition du consentement légal est la séparation de ces objectifs et l'obtention du consentement pour chacun.

7

, . , . . (. 3.3.1), , , .

3.1.4.

Le responsable du traitement est tenu de démontrer à la personne concernée qu'il peut retirer son consentement sans préjudice de lui-même (paragraphe 42). Par exemple, le responsable du traitement doit prouver que la révocation du consentement n'entraîne pas de coûts pour la personne concernée et ne lui cause aucun inconvénient évident.

D'autres exemples de dommages sont la tromperie, l'intimidation, la coercition ou des conséquences négatives importantes si la personne concernée ne donne pas son consentement. Le responsable du traitement est tenu de prouver que la personne concernée a le libre choix de consentir et qu'elle peut le retirer sans préjudice de lui-même.

Si le responsable du traitement montre que le service comprend la possibilité de révoquer le consentement sans conséquences négatives, par exemple, sans compromettre la qualité, cela peut servir de preuve d'un consentement volontaire. Le RGPD n'inclut pas toutes les incitations, mais la charge de la preuve du caractère volontaire de ce consentement incombe au responsable du traitement dans tous les cas.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

L'article 6, paragraphe 1, point a), confirme que le consentement doit être donné en relation avec «un ou plusieurs objectifs spécifiques» et que la personne concernée a le choix par rapport à chacun d'eux. L'exigence selon laquelle le consentement doit être spécifique vise à garantir le contrôle de l'utilisateur et la transparence pour la personne concernée. Le RGPD n'a pas modifié cette exigence et elle reste étroitement liée à l'exigence d'un consentement éclairé. Dans le même temps, il doit être interprété conformément à l'exigence de détail afin d'obtenir un consentement volontaire. En général, pour être précis, le responsable du traitement doit:

indiquer l'objectif comme une mesure de protection contre son expansion,
détailler la demande de consentement et,
séparer clairement les informations relatives à l'obtention du consentement de toute autre.

Supplément au 1. Conformément à l'article 5, paragraphe 1, point b) du RGPD, la réception du consentement est toujours précédée de la détermination de la finalité spécifique, explicite et juridique du traitement des données envisagé. La nécessité d'un consentement spécifique, combinée au concept de restriction d'objectif à l'article 5, paragraphe 1, point b), sert de protection contre l'expansion progressive de l'objectif de collecte de données après que l'entité a donné son consentement. Ce phénomène, également connu sous le nom de fluage fonctionnel, présente un risque pour les personnes concernées, car il peut entraîner une utilisation imprévue des données personnelles par le responsable du traitement ou des tiers et une perte de contrôle.

Si le responsable du traitement invoque l'article 6, paragraphe 1, point a), les personnes concernées doivent toujours consentir à la finalité spécifique du traitement. Conformément à la notion de restriction d'objectif, à l'article 5, paragraphe 1, point b), et au paragraphe 32, le consentement peut couvrir diverses opérations si elles servent le même objectif. Bien entendu, un consentement spécifique ne peut être obtenu que lorsque les personnes concernées sont correctement informées des objectifs de traitement prévus.

Malgré la possibilité de combiner les objectifs, le consentement doit être spécifique à chacun. Les personnes concernées doivent accepter de comprendre qu'elles contrôlent la situation, et leurs données ne seront traitées qu'aux fins spécifiées. Si le responsable du traitement traite légitimement les données dans un but et souhaite les traiter également pour un autre, le responsable du traitement est tenu de demander un consentement supplémentaire à cet effet, sauf s'il existe une autre base juridique qui reflète mieux la situation.

11

, , . , ( ) . .

Supplément au 2. Les mécanismes de consentement devraient non seulement être détaillés pour répondre à l'exigence de «volontaire», mais aussi pour respecter l'élément de «spécificité». Cela signifie que le responsable du traitement qui demande le consentement à diverses fins doit fournir un choix pour chacun d'eux afin de permettre aux utilisateurs de donner leur consentement à une fin de traitement spécifique.

Supplément au 3. Enfin, les superviseurs sont tenus de fournir des informations spécifiques dans chaque demande de consentement individuelle pour chaque objectif, afin que les personnes concernées soient conscientes de l'impact des différents choix. Les personnes concernées ont donc la possibilité de donner un consentement spécifique. Ce point est lié à l'obligation de fournir des informations claires dans la clause 3.3. au dessous de.

3.3. Informé

Le RGPD exige que le consentement soit informé. Sur la base de l'article 5 du RGPD, l'exigence de transparence est l'un des principes fondamentaux étroitement liés aux principes de justice et de légalité. Fournir des informations aux personnes concernées avant d'obtenir leur consentement est important pour elles de prendre une décision éclairée, de comprendre avec quoi elles sont exactement d'accord et, par exemple, en comprenant le droit de retirer leur consentement. Si le responsable du traitement ne fournit pas d'informations accessibles, la personne concernée ne reçoit pas de contrôle réel et ce consentement est considéré comme une base illégale pour le traitement.

La conséquence du non-respect de l'exigence de consentement éclairé est son illégalité et le responsable du traitement peut enfreindre l'article 6 du RGPD.

3.3.1. Exigences minimales de contenu pour obtenir un consentement éclairé

Pour que le consentement soit informé, il est nécessaire de fournir à la personne concernée plusieurs éléments qui lui sont essentiels pour prendre une décision. Par conséquent, le WP29 est d'avis qu'au moins les informations suivantes sont requises pour obtenir un consentement légal:

nom du contrôleur
les finalités de traitement auxquelles sont destinées les données personnelles,
les types de données qui seront collectées et utilisées,
le droit de révoquer le consentement,
des informations sur le traitement automatique des données conformément à l'article 22, paragraphe 2, point c), le cas échéant, et
des informations sur les risques possibles de transmission de données en raison de l'absence d'une solution adéquate et des mesures de protection décrites à l'article 46.

Concernant les paragraphes 1. et 3., le WP29 note que dans le cas où le consentement demandé doit être obtenu par plusieurs contrôleurs (conjoints), ou si les données doivent être transmises ou traitées par d'autres contrôleurs qui souhaitent adhérer à un tel consentement, alors tous doivent être sont répertoriés. Les sous-traitants peuvent ne pas être indiqués, bien que les responsables du traitement soient tenus de fournir une liste complète des destinataires des données ou de leurs catégories, y compris les sous-traitants, pour se conformer aux articles 13 et 14 du RGPD. En conclusion, le WP29 note que, selon les circonstances, la personne concernée peut avoir besoin d'informations supplémentaires pour comprendre clairement les opérations de traitement des données.

3.3.2. Comment fournir des informations

Le RGPD ne décrit pas la forme ou le type de la manière dont les informations doivent être fournies afin de se conformer à l'exigence de consentement éclairé. Cela signifie qu'il peut être représenté de diverses manières, telles que des déclarations écrites ou orales, des messages audio ou vidéo. Cependant, dans le RGPD, il existe plusieurs exigences pour un consentement éclairé, principalement à l'article 7, paragraphe 2, et à la clause 32. Ce qui améliore la clarté et l'accessibilité.

Lors de la demande de consentement, le responsable du traitement doit toujours utiliser un langage clair et simple. Cela signifie que le message doit être facilement compris par une personne ordinaire, pas seulement par un avocat. Les superviseurs ne doivent pas utiliser de longues politiques de confidentialité difficiles à comprendre ou de jargon juridique. Le consentement doit être clair, distinct des autres questions et fourni de manière compréhensible et facilement accessible. Cette exigence signifie que les informations relatives à l'adoption d'une décision éclairée sur le consentement ou le désaccord ne peuvent pas être cachées dans les conditions générales de service.

Le responsable du traitement est tenu de s'assurer que le consentement est obtenu sur la base d'informations permettant à la personne concernée de reconnaître facilement qui est le responsable du traitement et avec quoi elle est exactement d'accord. Le responsable du traitement doit décrire clairement la finalité du traitement pour lequel le consentement est demandé.

D'autres directives d'accessibilité spécifiques sont incluses par le WP29 en termes de transparence. Si le consentement est donné par voie électronique, la demande doit être claire et concise. Des informations complètes et détaillées conviennent mieux aux obligations bilatérales - exactes et complètes d'une part et compréhensibles d'autre part.

Le responsable du traitement est tenu d'évaluer le public cible, qui transmet les données personnelles. Par exemple, s'il comprend des mineurs, le responsable du traitement doit s'assurer que les informations leur sont compréhensibles. Après une telle évaluation, le responsable du traitement doit déterminer quelles informations et comment il doit fournir les personnes concernées.

L'article 7, paragraphe 2, examine les déclarations écrites de consentement préparées à l'avance qui concernent d'autres questions. Lorsque le consentement est demandé dans le cadre d'un contrat (papier), une telle demande doit être clairement séparée des autres questions. Si le contrat papier contient des aspects qui ne sont pas liés au consentement, alors la question doit être examinée de manière à ce qu'il ressorte clairement ou soit proposée comme un document distinct. De même, si le consentement est demandé par voie électronique, la demande doit être distincte et ne peut pas être simplement un paragraphe des conditions de service, conformément au paragraphe 32. Lorsqu'elle est placée sur de petits écrans ou dans un espace limité, une manière complète de fournir des informations peut être appropriée afin d'éviter une interaction excessive avec les violations de conception des utilisateurs ou des produits.

Le responsable du traitement, qui se réfère au consentement, est également tenu de se conformer aux exigences énoncées aux articles 13 et 14 afin de se conformer au RGPD. Dans la pratique, une approche intégrée peut être adoptée pour se conformer à ces exigences et pour se conformer à l'exigence de consentement éclairé. Cependant, cette section du Guide est rédigée dans le contexte où un consentement «éclairé» légitime peut être obtenu même si tous les éléments des articles 13 et / ou 14 ne sont pas mentionnés dans le processus de réception (ces points, bien sûr, devraient être mentionnés ailleurs, par exemple, dans politique de confidentialité). Le WP29 a émis des recommandations distinctes concernant la transparence.

Exemple 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

Le RGPD détermine que le consentement nécessite une déclaration ou une action positive claire de la personne concernée. Il doit être évident que la personne concernée a donné son consentement au traitement spécifique.
L'article 2, point h), de la directive 95/46 / CE décrit le consentement comme «l'expression de la volonté par laquelle la personne concernée exprime son consentement au traitement des données à caractère personnel la concernant». L'article 4, paragraphe 11, du RGPD est basé sur cette définition, clarifiant qu'un consentement juridique requiert l'expression expresse de la volonté au moyen d'une déclaration ou d'une action positive claire, conformément aux instructions précédentes du WP29.

«Action positive claire» signifie que le sujet accepte consciemment un traitement spécifique. La section 32 fournit des indications supplémentaires sur ce sujet. Le consentement peut être obtenu par une déclaration orale écrite ou (enregistrée), ainsi que par voie électronique.

La manière la plus simple de satisfaire à l'exigence d'une «déclaration écrite» est peut-être de s'assurer que la personne concernée a expliqué au responsable du traitement ce qu'elle accepte par lettre ou par e-mail. Souvent, cela n'est pas possible. Les déclarations écrites respectives du RGPD peuvent varier.

Sans préjudice du droit contractuel (national) existant, le consentement peut être obtenu par communication orale enregistrée, après avoir pris en compte les informations disponibles pour la personne concernée. Selon le RGPD, l'utilisation d'options présélectionnées n'est pas autorisée. Le silence, l'inaction ou la poursuite du travail avec le service n'est pas considéré comme un signe de choix.

Exemple 14

Lors de l'installation, l'application demande à la personne concernée le consentement pour utiliser des rapports d'erreur personnalisés afin d'améliorer sa qualité. Une politique de confidentialité complète contenant toutes les informations nécessaires est jointe à la demande de consentement. En cochant activement le champ facultatif avec l'inscription "J'accepte", l'utilisateur effectue une action affirmative claire, qui donne son consentement au traitement.

Le responsable du traitement doit tenir compte du fait que le consentement ne peut être obtenu simultanément avec le contrat de prestation de services. L'acceptation des conditions de service ne peut pas être considérée comme une action positive claire sur l'utilisation des données personnelles. Le RGPD interdit les options présélectionnées (par exemple, le champ «se désinscrire») ou d'autres méthodes qui nécessitent l'intervention de la personne concernée pour révoquer le consentement.

Lorsque le consentement est donné par voie électronique, la demande ne doit pas interrompre inutilement le travail avec le service. Une action affirmative claire par laquelle la personne concernée fournit le consentement peut être nécessaire si un moyen moins interruptif de l'obtenir conduit à l'ambiguïté. Ainsi, pour demander le consentement, il peut être nécessaire de suspendre partiellement l'interaction avec l'utilisateur afin de rendre la demande légitime.

Conformément au RGPD, les superviseurs ont le droit de développer de manière indépendante le processus de consentement le mieux adapté à l'organisation. Dans cette veine, les actions physiques peuvent être qualifiées d'affirmatives claires.

Les superviseurs doivent concevoir des mécanismes de consentement de telle manière qu'ils soient compris par les personnes concernées. Les superviseurs doivent éviter toute ambiguïté et s'assurer que l'action par laquelle le consentement est donné peut être distinguée des autres actions. Ainsi, l'utilisation continue habituelle du site Web n'est pas une action à partir de laquelle nous pouvons conclure que la personne concernée souhaite exprimer son consentement au traitement.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

Dans le monde numérique, de nombreux services nécessitent des données personnelles, de sorte que les personnes concernées reçoivent plusieurs demandes de consentement, auxquelles il faut répondre chaque jour en cliquant et en balayant l'écran. Cela peut conduire à une certaine apathie: lorsque les demandes sont satisfaites trop souvent, leur effet d'avertissement réel est réduit.

Cela conduit à une situation où la demande de consentement n'est plus lue. Cette situation présente un risque élevé pour les personnes concernées, car le consentement est généralement demandé pour un traitement qui serait illégal sans lui. Le RGPD oblige les superviseurs à développer des méthodes pour résoudre ce problème.

Un exemple bien connu d'une telle situation est l'obtention du consentement d'un internaute via les paramètres de son navigateur. Ces paramètres doivent être conçus conformément au RGPD. Par exemple, le consentement doit être détaillé pour chacun des objectifs et doit contenir les noms des superviseurs.

Dans tous les cas, le consentement doit être obtenu avant que le responsable du traitement ne procède au traitement des données personnelles. Dans les recommandations précédentes, le WP29 a toujours soutenu que le consentement doit être donné avant le début des activités de traitement. Bien que l'article 4, paragraphe 11, du RGPD ne prescrive pas littéralement la réception du consentement avant le début du traitement, cela est clairement implicite. Le titre de l'article 6, paragraphe 1, et la formulation «donnée» à l'article 6, paragraphe 1, point a), étayent une telle interprétation. Il découle logiquement de l'article 6 et du paragraphe 40 qu'avant de commencer le traitement des données, il doit y avoir une base juridique. Par conséquent, le consentement doit être donné avant le début du processus de traitement des données. En principe, il suffit de demander une fois le consentement de la personne concernée. Cependant, les superviseurs doivent obtenir un nouveau consentement si les objectifs de traitement ont changé ou si un objectif supplémentaire est apparu.

4. Obtention du consentement explicite

Un consentement explicite est requis dans certaines situations où il existe un risque sérieux de protection des données, par conséquent, un niveau élevé de contrôle individuel sur les données personnelles est considéré comme approprié. Selon le RGPD, le consentement explicite joue un rôle important à l'article 9 concernant le traitement de catégories spéciales de données, les dispositions sur le transfert de données vers des pays tiers ou des organisations internationales, s'il n'y a pas de mesures de protection prévues aux articles 49 et 22 sur la prise de décision automatisée, y compris le profilage.

Le RGPD prévoit qu'une «déclaration ou une action positive claire» est une condition préalable à un «simple» consentement. Étant donné que l'importance de l'exigence d'un consentement «simple» dans le RGPD est plus élevée que dans la directive 95/46 / CE, il est nécessaire de clarifier les efforts supplémentaires que le responsable du traitement doit faire pour obtenir le consentement explicite de la personne concernée conformément au RGPD.

Le terme explicite désigne une méthode d'expression du consentement par une personne concernée. Cela signifie que la personne concernée doit donner son consentement explicite. La manière évidente de s'assurer que le consentement est explicite est de donner le consentement par écrit. Dans de tels cas, le responsable du traitement peut s'assurer que la déclaration écrite est signée par la personne concernée afin d'éliminer tous les doutes possibles et le manque potentiel de preuves à l'avenir.

Cependant, une déclaration écrite n'est pas le seul moyen d'obtenir un consentement explicite, et on ne peut pas dire que le RGPD vous oblige à obtenir un consentement écrit dans tous les cas qui nécessitent un consentement explicite légitime. Par exemple, dans le monde numérique, une personne concernée peut consentir en remplissant un formulaire électronique, en envoyant un e-mail, en téléchargeant un document numérisé avec une signature ou en utilisant une signature électronique. Théoriquement, l'utilisation de déclarations orales peut également être suffisante pour obtenir un consentement explicite légitime, mais il sera plus difficile pour le responsable du traitement de prouver que toutes les conditions du consentement explicite légitime ont été remplies lors de l'enregistrement d'une telle déclaration.

L'organisation peut également obtenir un consentement explicite par téléphone à condition que les informations de sélection soient justes, compréhensibles et claires, et qu'une action spécifique soit demandée à la personne concernée (par exemple, en appuyant sur un bouton ou en fournissant une confirmation verbale).

Exemple 17 Un responsable du

traitement des données peut obtenir le consentement explicite d'un visiteur de son site Web en offrant l'écran Consentement, qui contient les indicateurs Oui et Non, à condition que le texte indique clairement le consentement. Par exemple, «Je consens par la présente au traitement de mes données» et non, disons, «Il est clair pour moi que mes données seront traitées». Bien entendu, d'autres conditions d'obtention du consentement légal doivent être respectées.

Exemple 18

, . - . , , , .

Une vérification du consentement en deux étapes peut également être un moyen de confirmer que le consentement explicite est valide. Par exemple, la personne concernée reçoit un e-mail informant le responsable du traitement de son intention de traiter ses données médicales. Le responsable du traitement explique qu'il demande le consentement pour utiliser un ensemble de données spécifique dans un but spécifique. Si la personne concernée accepte ce traitement, le responsable du traitement demande de répondre par e-mail avec le texte «J'accepte». Après l'envoi de la réponse, la personne concernée reçoit un lien de transfert, ou SMS avec un code, pour confirmer l'accord.

L'article 9, paragraphe 2, ne reconnaît pas la «nécessité de l'exécution du contrat» comme une exception à l'interdiction générale de traiter des catégories particulières de données. Par conséquent, les responsables du traitement et les pays de l'UE confrontés à cette situation sont tenus d'étudier les exceptions prévues aux paragraphes b) à j) de l'article 9, paragraphe 2. Si aucun d'entre eux n'est applicable, l'obtention d'un consentement explicite conformément au RGPD reste la seule exception légale possible au traitement de ces données.

Exemple 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. Conditions supplémentaires pour obtenir le consentement légal

Le RGPD impose aux superviseurs de prendre des mesures supplémentaires pour s'assurer qu'ils reçoivent, soutiennent et peuvent démontrer leur consentement légal. L'article 7 du RGPD décrit ces mesures supplémentaires avec des dispositions spécifiques sur la tenue du journal du consentement et le droit de révocation facile du consentement. L'article 7 s'applique également au consentement visé dans d'autres articles du RGPD, par exemple aux articles 8 et 9. Des conseils sur les exigences supplémentaires pour la démonstration d'un consentement légal et pour sa révocation sont donnés ci-dessous.

5.1. Démonstration de consentement

L'article 7, paragraphe 1, du RGPD définit l'obligation explicite du responsable du traitement de démontrer le consentement de la personne concernée. Conformément à l'article 7, paragraphe 1, la charge de la preuve incombe au responsable du traitement.

Le paragraphe 42 dit: "Si le traitement est basé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de démontrer que la personne concernée a consenti au traitement."

Les superviseurs peuvent développer leurs propres méthodes pour se conformer à cette exigence de manière à ce qu'ils soient mieux adaptés à leurs activités. Dans le même temps, l'obligation de démontrer le consentement légal obtenu en soi ne devrait pas conduire à un traitement supplémentaire excessif des données. Cela signifie que les contrôleurs doivent avoir suffisamment de données pour démontrer une connexion avec le traitement (montrer la réception du consentement), mais ils ne sont pas tenus de collecter des données au-delà de ce qui est nécessaire.

Le responsable du traitement est tenu de prouver que le consentement actuel a été obtenu de la personne concernée. Le RGPD ne précise pas exactement comment cela doit être fait. Cependant, le responsable du traitement doit prouver que la personne concernée a donné son consentement. Bien que les activités de traitement des données soient en cours, il existe une obligation de démontrer le consentement. À la fin du traitement, conformément aux articles 17, paragraphe 3, points b) et e), la preuve du consentement ne doit pas être conservée plus longtemps que strictement nécessaire pour le respect des obligations légales, la présentation, l'exécution ou la défense des exigences légales.

Par exemple, le responsable du traitement peut stocker un protocole des déclarations de consentement reçues pour montrer comment et quand elles ont été reçues, et quelles informations ont été fournies à la personne concernée à ce moment. Le responsable du traitement est également tenu de prouver que la personne concernée a été informée et que le processus de réception a satisfait à tous les critères d'autorisation légale. La raison logique de cette obligation du RGPD est que les superviseurs doivent prendre la responsabilité d'obtenir le consentement légal du sujet et leurs mécanismes pour l'obtenir. Par exemple, dans un contexte en ligne, le responsable du traitement peut stocker des informations sur la session au cours de laquelle le consentement a été donné, ainsi qu'une documentation sur le processus de réception et une copie des informations qui ont été présentées à la personne concernée à ce moment. Il ne suffit pas simplement de se référer à la configuration correcte du site Web.

21

- « X», . , . . , « X».

Le RGPD ne spécifie pas de date d'expiration spécifique pour le consentement. La durée de conservation dépend du contexte, de la portée et des attentes de la personne concernée. Si les opérations de traitement varient considérablement, le consentement d'origine n'est plus valide. Dans ce cas, vous devez obtenir un nouveau permis.

Le WP29 recommande de mettre à jour le consentement de temps à autre. La remise à disposition des informations contribue à garantir que la personne concernée est bien consciente de son utilisation et de ses droits.

5.2. Révocation du consentement

La révocation du consentement est importante dans le RGPD. Les normes et exigences du RGPD pour la révocation du consentement peuvent être considérées comme une codification de l'interprétation actuelle de cette question dans les conclusions du WP29.

L'article 7, paragraphe 3, du RGPD prescrit que le responsable du traitement est tenu de veiller à ce que la personne concernée puisse révoquer le consentement à tout moment aussi facilement qu'il a été accordé. Le RGPD n'exige pas que la fourniture et la révocation du consentement soient la même action.

Cependant, si le consentement est obtenu par voie électronique d'un simple clic de souris, en faisant glisser l'écran ou en appuyant sur une touche, les personnes concernées devraient pouvoir retirer ce consentement avec la même facilité. Dans les cas où le consentement est obtenu via l'interface utilisateur (par exemple, via un site Web, une application, un compte de connexion, l'interface de l'appareil de l'Internet des objets ou par e-mail), la personne concernée doit pouvoir révoquer le consentement via la même interface, depuis le passage à une autre interface pour la seule raison de révoquer le consentement nécessitera des efforts injustifiés. En outre, la personne concernée doit pouvoir retirer son consentement sans préjudice d'elle-même. Cela signifie notamment que le responsable du traitement est obligé de révoquer le consentement gratuitement ou sans compromettre la qualité de service.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

L'exigence de rappel facile est décrite comme une exigence nécessaire de consentement juridique dans le RGPD. Si le droit de rétractation ne répond pas aux exigences du RGPD, l'ensemble du processus de traitement du consentement par le responsable du traitement ne répond pas aux exigences du RGPD. Comme déjà mentionné dans la section 3.1. concernant les exigences du consentement éclairé, le responsable du traitement est tenu d'informer la personne concernée du droit de révoquer le consentement avant sa réception effective, conformément à l'article 7, paragraphe 3, du RGPD. En outre, le responsable du traitement est tenu, dans le cadre de la transparence, d'informer la personne concernée sur le mode d'exercice de ce droit.

Habituellement, lorsque le consentement est révoqué, toutes les opérations de traitement des données qui ont été construites sur celui-ci et effectuées avant la révocation du consentement restent légales, cependant, à partir de ce moment, le responsable du traitement est tenu d'arrêter le traitement. S'il n'y a aucun autre motif juridique pour le traitement des données (par exemple, un stockage supplémentaire), elles doivent être supprimées.

Comme mentionné précédemment, il est très important que les responsables du traitement déterminent les objectifs et les fondements juridiques du traitement effectif des données avant le début de la collecte des données. Souvent, les entreprises ont besoin de données personnelles à plusieurs fins à la fois, et le traitement est basé sur plus d'une base juridique, par exemple, les données client peuvent être à la fois dans le contrat et dans le consentement. Ensuite, le retrait du consentement ne signifie pas que le responsable du traitement est obligé de supprimer les données qui sont traitées afin de remplir le contrat. Par conséquent, le responsable du traitement est obligé, dès le début, d'indiquer exactement quel objectif se rapporte à chaque élément de données et sur quelle base juridique il se fonde.

Le responsable du traitement est tenu de supprimer les données traitées sur la base du consentement dès qu'elles sont révoquées, à condition qu'aucune autre raison ne justifie un stockage ultérieur. Outre cette situation décrite à l'article 17, paragraphe 1, point b), la personne concernée peut exiger la suppression de ses autres données, qui sont traitées sur une autre base juridique, par exemple sur la base de l'article 6, paragraphe 1, point b). Le responsable du traitement doit évaluer l'opportunité de poursuivre le traitement des données, même en l'absence de demande de suppression.

Dans les cas où la personne concernée retire son consentement, mais que le responsable du traitement souhaite continuer à traiter les données personnelles sur une autre base juridique, il ne peut pas passer silencieusement du consentement (qui est retiré) à une autre base juridique. Toute modification de la base juridique du traitement doit être portée à la connaissance de la personne concernée conformément aux exigences d'information énoncées aux articles 13 et 14 et au principe de transparence.

6. Interaction du consentement avec d'autres motifs juridiques dans l'article 6 du RGPD

L'article 6 établit les conditions du traitement légitime des données à caractère personnel et décrit six motifs juridiques sur lesquels le responsable du traitement peut s'appuyer. L'application d'un de ces six motifs doit être établie avant le début du traitement et être conforme à la finalité spécifique.

Il est important de noter ici que si le responsable du traitement décide de s'appuyer sur le consentement concernant une partie du traitement, il doit être prêt à y mettre fin si la personne retire son consentement. La notification que les données sont traitées sur la base du consentement, alors qu'en fait une autre base juridique est appliquée, est en principe injuste pour la personne concernée.

En d'autres termes, le responsable du traitement ne peut pas remplacer le consentement par une autre base juridique. Par exemple, il n'est pas permis d'utiliser rétrospectivement des intérêts légitimes comme base juridique pour légaliser le traitement si des problèmes surviennent avec la légalité du consentement. Compte tenu de l'obligation de divulguer la base juridique sur laquelle le responsable du traitement s'appuie sur la collecte de données à caractère personnel, il est tenu de décider à l'avance de la base juridique applicable.

7. Dispositions spéciales du RGPD

7.1. Enfants (article 8)

Par rapport à la directive actuelle, le RGPD crée un niveau de protection supplémentaire auquel les données personnelles des personnes les plus vulnérables, en particulier les enfants, sont traitées. L'article 8 introduit des obligations supplémentaires pour assurer un niveau de protection accru à ces enfants en ce qui concerne les services d'information. Les raisons de la protection renforcée sont indiquées au paragraphe 38: «... car ils peuvent être moins conscients des risques, des conséquences, des garanties et des droits associés au traitement des données à caractère personnel ...» Le paragraphe 38 stipule également que «cette protection spéciale devrait, en particulier, s'appliquer à l'utilisation de les données personnelles des enfants à des fins de marketing ou pour créer des profils personnels (utilisateurs) et collecter des données personnelles relatives aux enfants dans le cadre de leur utilisation des services destinés spécifiquement aux enfants."Le libellé" en particulier "indique que la protection ne se limite pas au marketing ou au profilage, mais comprend une" collecte plus large de données personnelles des enfants ".

L'article 8, paragraphe 1, stipule que dans les cas où le consentement est appliqué pour offrir des services d'information directement à l'enfant, le traitement des données personnelles est considéré comme légal s'il a au moins 16 ans. Si l'enfant a moins de 16 ans, ce traitement n'est légal que si et dans la mesure où le consentement est donné par une personne représentant les intérêts de l'enfant. Concernant la limite d'âge du consentement, le RGPD permet aux pays de l'UE de fixer eux-mêmes un seuil minimum, mais il ne peut être inférieur à 13 ans.

Comme mentionné dans la section 3.1. en ce qui concerne le consentement éclairé, le message doit être clair pour le public cible, auquel s'adresse le responsable du traitement, en accordant une attention particulière à l'opinion de l'enfant. Afin de recevoir le «consentement éclairé» de l'enfant, le responsable du traitement doit expliquer dans un langage simple et compréhensible aux enfants comment il prévoit de traiter les données collectées. Si le parent donne son consentement, un ensemble d'informations peut être nécessaire pour permettre à l'adulte de prendre une décision éclairée.

Il résulte de ce qui précède que l'article 8 ne s'applique que si les conditions suivantes sont remplies:

le traitement est lié à la fourniture de services d'information directement à l'enfant,
le traitement est basé sur le consentement.

7.1.1. Services d'information

Pour déterminer la portée du terme «service d'information» à l'article 4 (25), le RGPD se réfère à la directive 2015/1535.

Évaluant la portée de cette définition, le WP29 renvoie également à la pratique de la Cour européenne. Le tribunal a jugé que les services d'information couvrent les contrats ou autres services conclus ou engagés en ligne. Si un service comporte deux composantes économiquement indépendantes, dont la première est en ligne, par exemple, une offre et son acceptation est associée à la conclusion d'un contrat ou à des informations sur les produits et services, y compris le marketing, alors une telle composante est considérée comme un service d'information. À son tour, la deuxième composante, étant une fourniture physique ou une distribution de biens, ne relève pas du concept de service d'information. La fourniture d'un service en ligne est conforme à la définition du terme «service d'information» contenue à l'article 8 du RGPD.

7.1.2. Offert directement à un enfant

L'inclusion de l'expression «offert directement à l'enfant» indique que l'article 8 ne s'applique qu'à certains services d'information. Si le fournisseur de services d'information indique clairement aux utilisateurs potentiels qu'il n'offre des services qu'aux personnes de plus de 18 ans, et cela n'est pas réfuté par d'autres preuves (par exemple, le contenu du site Web ou des plans de marketing), alors un tel service n'est pas considéré comme étant «offert directement à l'enfant», et L'article 8 ne s'applique pas.

7.1.3. Âge

Le RGPD détermine que «les pays de l'UE peuvent légalement prévoir un âge inférieur à ces fins, à condition que cet âge ne soit pas inférieur à 13 ans». Le responsable du traitement doit connaître les lois locales et tenir compte de la communauté à laquelle il offre des services. Il convient de noter en particulier que le responsable du traitement offrant le service transfrontalier peut ne pas toujours se référer uniquement aux normes de sa juridiction, mais il peut également devoir se conformer aux lois de chaque pays où il offre des services d'information. Cela dépend si le pays décide de se fonder sur la juridiction du responsable du traitement ou sur le lieu de résidence de la personne concernée. Tout d'abord, en faisant un tel choix, tous les pays de l'UE sont tenus de prendre en compte les intérêts de l'enfant. Le Groupe de travail appelle à une décision concertée sur cette question.

Si des services d'information sont fournis aux enfants sur la base du consentement, les superviseurs devraient prendre des mesures pour s'assurer que l'utilisateur a atteint l'âge minimum du consentement numérique, et ces mesures doivent être proportionnées au traitement des données et des risques.

Si les utilisateurs déclarent être plus âgés que l'âge minimum du consentement numérique, le contrôleur peut effectuer un examen pour le vérifier. Bien que le RGPD n'oblige pas à effectuer un tel contrôle, il est implicitement requis, car le traitement des données deviendra illégal si l'enfant donne son consentement, n'étant pas assez âgé pour fournir un consentement légal en son nom.

Si l'utilisateur prétend qu'il n'a pas atteint l'âge minimum du consentement numérique, le responsable du traitement peut accepter cette déclaration sans vérification, mais le responsable du traitement devra alors obtenir l'autorisation parentale et vérifier que la personne fournissant le consentement dispose des droits parentaux.

La vérification de l'âge ne peut pas être attribuée à un traitement excessif des données. La méthode choisie pour vérifier l'âge de la personne concernée devrait inclure une évaluation des risques du traitement proposé. Dans les situations à faible risque, il peut être suffisant de demander l'année de naissance ou de remplir un formulaire dans lequel il n'est (pas) mineur. En cas de doute, le superviseur devrait modifier les méthodes de vérification de l'âge et considérer la nécessité de contrôles alternatifs.

7.1.4. Consentement des enfants et droits parentaux

Le RGPD ne détermine pas comment obtenir le consentement des parents ou déterminer qui a le droit de le faire. Par conséquent, le WP29 recommande une approche proportionnelle conformément aux articles 8 (2) et 5 (1) © GDPR (minimisation des données). Une approche proportionnelle consiste à obtenir une quantité limitée d'informations, telles que les coordonnées d'un parent ou d'un tuteur.

Ce qui est raisonnable pour vérifier que l'utilisateur est assez âgé pour donner son propre consentement et que la personne accordant le consentement de l'enfant a des droits parentaux, peut dépendre des risques de traitement et de la technologie disponible. Dans les situations à faible risque, une confirmation par e-mail peut être suffisante. En revanche, dans les situations à haut risque, il peut être approprié de demander des preuves supplémentaires afin que le responsable du traitement puisse les vérifier et les stocker conformément à l'article 7, paragraphe 1, du RGPD. Les services de vérification tiers peuvent offrir des solutions qui minimisent la quantité de données personnelles que le responsable du traitement doit traiter lui-même.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

L'exemple montre que le responsable du traitement peut démontrer que des efforts raisonnables ont été faits pour garantir le consentement légal aux services fournis à l'enfant. L'article 8, paragraphe 2, stipule que «le responsable du traitement, compte tenu des capacités technologiques disponibles, doit faire des efforts raisonnables pour s'assurer que le consentement a été donné par une personne ayant des droits parentaux à l'égard de l'enfant, ou a été donné avec son approbation.»

Le responsable du traitement est tenu de déterminer les mesures appropriées dans un cas particulier. En règle générale, les superviseurs doivent éviter les contrôles qui conduisent à une collecte excessive de données personnelles.

Le WP29 reconnaît qu'il peut y avoir des situations où la vérification est compliquée (par exemple, lorsque les enfants qui ont donné leur consentement n'ont pas encore laissé d'empreinte numérique ou lorsque les droits parentaux sont difficiles à vérifier. La complexité peut être prise en compte lors de la détermination des mesures raisonnables, mais les contrôleurs sont censés surveiller en permanence leurs processus. et les technologies disponibles.

En ce qui concerne le droit du sujet à consentir au traitement des données personnelles et à avoir un contrôle total sur celles-ci, dès que la personne concernée atteint l'âge du consentement numérique, le consentement du parent ou du tuteur peut être confirmé, modifié ou révoqué. En pratique, cela signifie que si l'enfant ne prend aucune mesure, le consentement au traitement donné par le parent ou le tuteur, accordé avant l'âge du consentement numérique, restera la base juridique du traitement. Lorsqu'il atteint l'âge du consentement numérique, l'enfant peut révoquer le consentement conformément à l'article 7, paragraphe 3. Conformément aux principes d'équité et de transparence, le responsable du traitement est tenu d'informer l'enfant de cette possibilité.

Il est important de noter que, conformément à l'article 38, le consentement du parent ou du tuteur n'est pas requis pour les services de prévention ou de conseil offerts directement à l'enfant. Par exemple, la fourniture de services de protection de l'enfance en ligne ne nécessite pas d'autorisation parentale.

En conclusion, le RGPD détermine que les règles de délivrance des procurations relatives aux mineurs n'affectent pas «le droit général des contrats des pays de l'UE, par exemple, sur la conclusion ou l'exécution d'accords concernant l'enfant». Ainsi, les conditions du consentement légal à l'utilisation de ces enfants font partie du cadre juridique, qui doit être considéré séparément du droit des contrats des pays. Par conséquent, le Guide ne traite pas de la question de la légalité des contrats en ligne conclus par des mineurs. Les deux régimes juridiques peuvent être appliqués simultanément et le champ d'application du RGPD n'inclut pas l'harmonisation du droit des contrats des pays.

7.2. Recherche scientifique

La définition des objectifs de recherche a un impact significatif sur l'ensemble du spectre des activités de traitement de données que le contrôleur peut réaliser. Le terme «recherche scientifique» n'est pas défini dans le RGPD. Le paragraphe 159 stipule: "... Dans le cadre de ce règlement, le traitement des données à caractère personnel à des fins de recherche scientifique devrait être interprété de manière large ...", cependant, le WP29 estime que ce concept ne peut pas être plus large que sa signification générale, par conséquent, "recherche scientifique" dans ce contexte signifie un projet de recherche. créé conformément aux normes méthodologiques et éthiques de l'industrie et aux meilleures pratiques.

Lorsque le consentement est la base juridique pour mener des recherches conformément au RGPD, il doit être séparé des autres exigences du consentement, servant des normes éthiques ou des obligations procédurales. Un exemple d'une telle obligation procédurale lorsque le traitement est basé non pas sur le consentement mais sur une autre base juridique peut être trouvé dans le calendrier des essais cliniques. Dans le cadre des droits à la protection des données, la dernière forme de consentement mentionnée peut être considérée comme une mesure de protection supplémentaire. Dans le même temps, le RGPD ne limite pas l'application de l'article 6 uniquement au consentement au traitement des données à des fins de recherche. Tant qu'il existe des mesures de protection, telles que les exigences de l'article 89, paragraphe 1, et que le traitement est équitable, légal, transparent et conforme aux normes de minimisation des données et aux droits individuels,d'autres motifs juridiques peuvent être disponibles, tels que l'article 6, paragraphe 1, points e) ou f). Cela s'applique également aux catégories spéciales de données conformément aux exceptions de l'article 9, paragraphe 2, point j).

Le paragraphe 33 semble apporter une certaine flexibilité au degré de concrétisation et de raffinement du consentement dans le contexte de la recherche scientifique. Il dit: «Il est souvent impossible de déterminer pleinement la finalité du traitement des données personnelles destinées à la recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient avoir la possibilité de donner leur consentement à certains domaines de la recherche scientifique, sur la base de la conformité de leurs objectifs avec les normes éthiques reconnues de la recherche scientifique. Les personnes concernées ne devraient pouvoir donner leur consentement que pour certains domaines de recherche ou une partie de projets de recherche conformément à la finalité prévue. »

Premièrement, il convient de noter que le paragraphe 33 n'annule pas l'obligation d'exiger un consentement spécifique. Cela signifie qu'en principe, les projets de recherche ne peuvent inclure des données personnelles sur la base du consentement que s'ils ont un objectif bien décrit. Dans les cas où les objectifs du traitement des données dans le cadre d'un projet de recherche ne peuvent être déterminés au début, le paragraphe 33 autorise l'exception selon laquelle l'objectif peut être décrit de manière plus générale.

Compte tenu des conditions strictes énoncées à l'article 9 du RGPD concernant le traitement des catégories de données spéciales, le WP29 note que dans les cas où des catégories de données spéciales sont traitées sur la base d'un consentement explicite, une approche flexible devrait être interprétée plus strictement et nécessiter une étude plus approfondie.

Considérant le RGPD dans son ensemble, il ne peut pas être interprété de manière à permettre au responsable du traitement de contourner le principe clé de la détermination des finalités pour lesquelles le consentement de la personne concernée est demandé. Lorsque les objectifs de recherche ne peuvent pas être entièrement définis, le superviseur doit rechercher d'autres moyens pour s'assurer que l'essence des exigences de consentement est la mieux adaptée, par exemple, permettre aux personnes concernées de consentir à l'objectif de recherche en termes plus généraux et pour des phases spécifiques du projet de recherche connues dès le début. À mesure que la recherche progresse, le consentement à l'étape suivante peut être obtenu avant qu'elle ne commence. Cependant, ce consentement continuera d'être conforme aux normes éthiques de la recherche scientifique.

De plus, dans de tels cas, le contrôleur peut prendre des précautions supplémentaires. Par exemple, l'article 89, paragraphe 1, souligne la nécessité de garanties lors du traitement des données à des fins scientifiques, historiques ou statistiques. Ces objectifs «incluent des garanties des droits et libertés de la personne concernée». Les mesures de protection possibles incluent la minimisation, l'anonymisation et la sécurité des données. L'anonymisation est préférable si l'objectif de l'étude peut être atteint sans traitement des données personnelles.

La transparence est une garantie supplémentaire lorsque les circonstances de l'étude ne permettent pas un consentement spécifique. Le manque de concrétisation de l'objectif peut être compensé par des informations sur son évolution, régulièrement fournies par les encadrants lors de la mise en œuvre du projet de recherche, afin qu'avec le temps le Consentement devienne le plus précis possible. Dans le même temps, la personne concernée a au moins une compréhension de base de la situation, ce qui permet d'évaluer si, par exemple, le droit de révoquer le consentement doit être utilisé conformément à l'article 7, paragraphe 3.

De plus, le fait de disposer d'un plan de recherche complet pour les personnes concernées, avant de donner son consentement, peut aider à compenser le manque de détails sur l'objectif. Dans un tel plan de recherche, les thèmes de recherche et les méthodes de travail devraient être aussi clairement définis que possible. Un plan de recherche peut aider à se conformer à l'article 7, paragraphe 1, car les superviseurs doivent montrer quelles informations étaient disponibles aux personnes concernées au moment de l'obtention du consentement afin de pouvoir prouver qu'elles sont légales.

Il est important de se rappeler que lorsque le consentement est utilisé comme base juridique pour le traitement, la personne concernée doit pouvoir le révoquer. Le WP29 note que la révocation du consentement peut interférer avec la recherche nécessitant des données de personnes, mais le RGPD indique clairement que le consentement peut être révoqué et les superviseurs sont tenus d'agir conformément à cela - il n'y a pas d'exception pour la recherche scientifique. Si le responsable du traitement reçoit une demande de révocation du consentement, il est en fait obligé de supprimer immédiatement les données personnelles s'il souhaite poursuivre la recherche.

7.3. Droits des personnes concernées

Si le traitement des données est basé sur le consentement de la personne concernée, cela affecte les droits de cette personne. Les personnes concernées ont droit à la portabilité de leurs données (article 20). Dans le même temps, le droit d'opposition (article 21) ne s'applique pas si le traitement est basé sur le consentement, même si le droit de retirer le consentement à tout moment donne le même résultat.

Les articles 16 à 20 du RGPD indiquent que (lorsque le traitement des données est basé sur le consentement), les personnes concernées ont le droit de supprimer des données lorsque le consentement est révoqué, ainsi que le droit de les restreindre, de les ajuster et d'y accéder.

8. Consentement obtenu conformément à la directive 95/46 / CE

Les superviseurs qui traitent déjà des données sur la base du consentement conformément à la législation locale, se préparent au RGPD, ne sont pas tenus de mettre à jour automatiquement et complètement toutes les relations avec les personnes concernées. Le consentement déjà obtenu reste légal dans la mesure où il est conforme au RGPD.

Il est important que les autorités de surveillance examinent en détail les processus et registres actuels d'ici le 25 mai 2018, afin de s'assurer que les accords existants sont conformes au RGPD (voir paragraphe 171 du RGPD). Le RGPD introduit la norme la plus élevée pour les mécanismes de consentement et introduit de nombreuses nouvelles exigences qui obligent les superviseurs à modifier les processus de consentement, pas seulement à réécrire les politiques de confidentialité.

Par exemple, étant donné que le RGPD exige que le responsable du traitement soit en mesure de démontrer que le consentement légal a été obtenu, tous les autres consentements ne sont pas automatiquement conformes au RGPD et doivent être remplacés. De même, puisque le RGPD exige une «déclaration ou une action positive claire», tous les autres consentements basés sur les actions indirectes de la personne concernée (par exemple, une case à cocher prédéfinie) ne correspondront pas non plus au RGPD.

En outre, afin de démontrer que le consentement a été obtenu ou d'affiner le choix de la personne concernée, les processus et les systèmes peuvent devoir être revus. De plus, il devrait être possible de révoquer facilement le consentement et des informations devraient être fournies sur la manière de procéder. Si les procédures de gestion de consentement existantes ne répondent pas aux exigences du RGPD, le responsable du traitement est tenu d'obtenir un nouveau consentement correspondant.

En revanche, étant donné que la condition d'un consentement éclairé ne nécessite pas toujours tous les éléments mentionnés aux articles 13 et 14, les obligations élargies du RGPD ne contredisent pas nécessairement la continuité du consentement qui a été fourni avant l'entrée en vigueur du RGPD. La directive 95/46 / CE n'obligeait pas à informer les personnes concernées des raisons du traitement.

Si le responsable du traitement détermine que le consentement obtenu antérieurement en vertu de l'ancienne législation n'est plus conforme au RGPD, il est alors obligé de prendre des mesures pour s'y conformer, par exemple pour mettre à jour le consentement. Conformément au RGPD, la substitution d'une base juridique à une autre est inacceptable. Si le responsable du traitement ne peut pas mettre à jour le consentement et ne peut pas continuer à se conformer au RGPD, en traitant les données sur une autre base juridique, tout en veillant à ce que le traitement se poursuive de manière équitable et transparente, l'activité de traitement doit être arrêtée. Dans tous les cas, le responsable du traitement est tenu de respecter les principes d'un traitement juridique, équitable et transparent des données.

GDPR: Consentement au traitement des données personnelles