#RGPD : vous avez dit "consentement" ?

RGPD 16 nov. 2017

Aaaah, le RGPD… que nos chers décideurs pressés appellent déjà « la GDPR » parce qu’en anglais ça fait plus disruptif, quand c’est pas « la RGPR », ou « le GRPR ». True story.

Vous en avez forcément entendu parler : si, cette nouvelle réglementation européenne qui va remplacer la loi Informatique et Libertés. Les amendes à plusieurs millions d’euro. Les entreprises françaises qui flippent parce que 1 an c’est pas assez pour se mettre en conformité (analyse technique : MDR, et je sais de quoi je parle).

Or, un des aspects que modifie fortement le RGPD et dont on ne parle pourtant pas énormément, c’est la notion de « consentement ». Aujourd’hui, on trouve de tout : des cases à cocher, des cases pré-cochées, pas de case du tout, et des politiques de confidentialité qui ressemblent plus à « L’Assommoir » qu’à « Martine au pays des data brokers ». À moins de poser une journée de congés à chaque fois que vous vous inscrivez à un service, on est bien d’accord que le bouton en bas du formulaire ressemble plus à « Je fais genre j’ai lu » qu’à quoi que ce soit d’autre.

Alors voilà, on va prendre un peu de temps pour balayer ce qui change vis-à-vis du consentement, du point de vue du professionnel qui voudrait se faire une liste de prospects à démarcher.

Pour tous les autres, surtout les particuliers : lisez si vous le souhaitez, c’est instructif. Sinon, sautez en bas d’article, il y a un truc pour vous.

Bonne lecture !

Mise en bouche

Le nouveau « Règlement Général sur la Protection des Données » (RGPD), souvent appelé plus simplement « Règlement Européen » détermine comment seront gérées les données à caractère personnel au sein de votre entreprise à compter de mai 2018.

Le RGPD implique des changements, évidemment, et certains d’entre eux sont conséquents (mais ils seraient moins drastiques si vous respectiez d’ores et déjà la loi du 6 janvier 1978, dite « Informatique et Libertés »). Pour être « conforme » au RGPD, il va vous falloir revoir le processus de traitement des données personnelles, de leur collecte à leur protection en passant par les modalités de stockage. Et ce, que vous soyez en B2B comme en B2C.

Pour vous aider un peu, voici une checklist basée sur une compilation de ressources émanant de la CNIL, de l’ICO (la CNIL anglaise, qui semble plus active niveau publications), du règlement européen en lui-même, et aussi du très (trop ?) complet « Unlocking the EU General Data Protection Regulation » du cabinet d’avocats White&Case.
J’essaierai tant que faire se peut de maintenir cette petite liste à jour, en fonction des évolutions des interprétations du texte et des recommandations/exigences qui pourraient être formulées par l’Autorité de protection des données (la CNIL, quoi).

1. « Intérêts légitimes »

Je vérifie que les intérêts légitimes sont la base légale la plus appropriée pour le traitement
J’explique en quoi / pourquoi j’ai besoin de données à caractère personnel d’un individu quand j’en collecte
Je propose une politique de confidentialité et de gestion des données personnelles intelligible : c’est-à-dire qu’elle présente les aspects principaux dans des phrases courtes et compréhensibles par tout visiteur. Cela ne m’empêche pas de conserver par ailleurs un document plus fourni et détaillé (celui que personne ne lit jamais)
Les individus sont bien informés de ce que je compte faire de leur données, et ce au moment où je les collecte
Je donne la possibilité aux individus de s’opposer au marketing. Cette option est clairement identifiée et facile d’accès
Je ne collecte que le strict minimum en termes de données personnelles, et je les efface quand je n’en ai plus besoin. J’ai besoin d’une finalité valable pour traiter les données personnelles d’un individu, en plus de mes « intérêts légitimes ». Le marketing direct est reconnu (sous conditions !) comme un intérêt légitime (concernant n°47 du RGPD

Que vous utilisiez le consentement ou vos intérêts légitimes, la procédure est sensiblement la même pour vous assurer de votre conformité au RGPD :

Soyez clairs vis-à-vis des individus, en particulier sur le « pourquoi » de la collecte de DCP (Données à Caractère Personnel), et ce au moment de leur collecte (des précisions au niveau du formulaire par exemple, on considère qu’un « j’ai lu la politique de confidentialité » avec un lien qui pointe ailleurs n’est pas suffisant)
Utilisez un langage simple et faites des phrases courtes, adaptées au public visé
Donnez du contrôle aux individus : c’est à eux de choisir s’ils veulent partager des données les concernant avec vous, et lesquelles
D’après le principe de responsabilité du RGPD, vous devez être capables de démontrer que vous êtes conformes. Cela implique d’enregistrer la base légale sur laquelle vous vous appuyez pour traiter les données d’un individu

2. Consentement

Demander le consentement des personnes

Je m’assure que le consentement est la base légale la plus appropriée pour le traitement
J’ai demandé clairement le consentement de l’individu, de façon évidente (pas en police taille 4 en bas de page) et séparément de ma politique de confidentialité
Je demande aux individus une action positive pour signifier leur consentement (« opt-in »), afin qu’il soit considéré comme valable
Je n’utilise pas de cases pré-cochées, ou tout autre type de consentement « par défaut »
J’utilise un langage simple et clair
J’explique pourquoi j’ai besoin de ces données et ce que je compte en faire : le consentement doit être éclairé
Je m’assure du consentement pour chacun des traitements que je mets en œuvre, quand bien même je l’ai déjà obtenu pour une donnée particulière utilisée dans un autre traitement
Je fournis une liste exhaustive des entités avec qui je partagerai ces données (partenaires, sous-traitants…)
Je précise aux individus qu’ils peuvent revenir sur leur consentement
Je précise aux individus que le refus de consentement ne se fait pas à leur détriment (je ne désactive pas des fonctionnalités ou je ne fais pas payer un service gratuit si le consentement est donné)
Je ne fais pas du consentement un prérequis pour accéder au service que je propose
Si je propose des services aux enfants, je ne demande le consentement que si j’ai mis en place un dispositif éprouvé de vérification de l’âge et de consentement parental

Enregistrer ce consentement

Je conserve un enregistrement de quand et comment j’ai obtenu le consentement de l’individu (capture d’écran…). En cas de contestation, c’est à vous qu’il revient de prouver votre bonne foi
Je conserve une copie des informations qui lui ont été fournies à ce moment-là pour l’informer des modalités de collecte, de traitement…

Faire « vivre » ce consentement

Je revois régulièrement le consentement qui a été donné (modalités, portée, traitements concernés…) afin de m’assurer que la relation, le traitement et les finalités n’ont pas changé depuis que le consentement a été donné
Je mets en place un moyen de m’assurer du consentement des individus, à intervalles réguliers. Cela inclue le consentement parental
Je note qu’utiliser un tableau de bord de gestion de la vie privée (ou tout autre outil de gestion des préférences utilisateur) est une bonne pratique que je devrais adopter si ce n’est pas déjà le cas
Je mets à disposition une procédure simple et facile à trouver permettant aux individus de revenir sur leur consentement à tout moment
Je prends en compte l’annulation du consentement aussi rapidement que possible
Je ne pénalise pas les individus qui auraient voulu revenir sur leur consentement

3. Collecte d’informations

Lorsque je collecte des données à caractère personnel, je dois m’assurer que les individus sont informés des éléments suivants :

L’identité réelle de mon organisation, et les informations permettant de la contacter
Les coordonnées de mon CIL/DPO, si j’en ai un
La nécessité de leur consentement et/ou l’intérêt légitime relatif à cette collecte
Si vous mettez en avant des intérêts légitimes, vous devez expliquer et détailler ceux-ci
L’identité des tierces parties qui auront accès aux données collectées
Dans quels pays hors de l’Union Européenne ces données seront transférées/copiées
La durée de conservation des données, ou à défaut les critères déterminant cette période (par exemple, dans le cas d’un salarié, la durée de conservation des données RH n’est pas fixe : le décompte commence seulement à la date de départ du salarié, même si la durée de ce décompte est connue à l’avance)
La possibilité qui leur est offerte de demander la modification ou la suppression des données les concernant, ainsi que de s’opposer à leur traitement dans le futur
La possibilité qui leur est offerte de déposer plainte auprès de l’autorité de protection des données (la CNIL, pour la France)
Les éventuelles lois qui imposeraient la collecte de données à caractère personnel
Une information claire et complète si le traitement inclut un traitement automatisé permettant la prise de décision, y compris pour du profilage. Dans ce cas, je dois détailler le fonctionnement de l’algorithme

4. Données obtenues de tiers

Lorsque j’achète des données à des tiers, je dois vérifier un minimum de choses. Le RGPD indique que je suis responsable de m’assurer que les données que j’utilise pour mon marketing sont « propres », du point de vue de cette réglementation. Pour cela, je dois contrôler certains aspects auprès des tierces parties :

Comment a été constituée cette base de données ? Si le tiers refuse de répondre ou indique ne pas savoir, je n’utilise pas ces données
Le consentement a-t-il été donné/renouvelé récemment ?
Le tiers peut-il prouver le consentement (cf. point 1) ?
Les données ont-elles été filtrées par rapport à la liste d’opposition au démarchage téléphonique (Bloctel) ? Si la réponse est non, c’est à moi de le faire.
Mon entreprise figurait-elle bien dans la liste des tierces parties amenées à accéder aux données, au moment où le consentement a été donné ?
Demander à accéder à un échantillon de données

Et surtout : là aussi, je garde des traces de ces vérifications effectuées auprès du fournisseur des données, dans l’éventualité où un individu (ou la CNIL) me demanderai des comptes.

5. Profilage

Aaaah, le profilage… cancer du web. « Profiler », c’est simplement agréger des données à caractère personnel pour dresser le portrait d’un individu et/ou d’un groupe, souvent pour tenter de prédire son comportement, ses réactions (aime tel type de produits, vote pour tel parti politique, fait du 43, va souvent manger dans ce restaurant…). Le profilage est utilisé pour le marketing (le second cancer du web), afin de cibler des communications, promotions, de « personnaliser l’expérience »…

Si je souhaite profiler mes clients/prospects, je dois :

Indiquer comment et pourquoi j’effectue ce profilage, et obligatoirement laisser la possibilité de sortir de ce dispositif (« opt-out »)
Détailler, dans ma politique de confidentialité, le fonctionnement du profilage et ses effets

Si les données sont traitées par un algorithme (traitement automatisé, pas d’intervention humaine dans le processus), alors :

Le consentement doit être explicite (on repasse sur de l’opt-in, par exemple une case à cocher avec mentions explicatives, cf. point 1)

Si le profilage induit des effets juridiques ou s’en approchant sur l’individu :

Le consentement doit être explicite, là aussi (voir point ci-dessus)
Je dois mener une ÉIVP (« Étude d’Impact sur la Vie Privée », PIA pour « Privacy Impact Assessment » dans la langue de Shakespeare) afin de déterminer si c’est le consentement ou l’intérêt légitime qui est la base légale la plus adaptée

6. Données déjà collectées

Pas mal de gens autour de moi n’y ont pas pensé : lorsque le RGPD va entrer en vigueur, qu’advient-il des données déjà collectées et qui figurent dans vos fichiers depuis un moment ?

Pour continuer à démarcher les personnes figurant dans vos bases de clients/prospects, vous devez quand même vous assurer que ces données sont conformes au RGPD. Eh oui.

Pour cela, vous devez repasser par les sections « consentement », « intérêts légitimes » et « collecte d’informations » de cet article…

En résumé :

Je dois informer les personnes figurant dans mes bases de données de la collecte dont ils ont fait l’objet, ainsi que des finalités de cette collecte
Cette information doit être rédigée dans un langage clair et compréhensible par tout un chacun
Je dois par la même occasion laisser la possibilité à ces personnes de s’opposer au traitement de leur données (et si tel est le cas, je les sors de mes bases, évidemment)
Je dois enregistrer ces actions, ainsi que le consentement renouvelé ou l’opposition qui en découlent
Je dois être en mesure de prouver mes démarches (information des personnes figurant dans mes listes et consentement associé, incluant le détail des données collectées et la finalité du traitement). Sans cela, ma liste n’est pas conforme au RGPD et ne pourra pas être utilisée après son entrée en vigueur (et en théorie, elle ne devrait déjà pas l’être…)
Je recontacte les personnes figurant dans mes listes par courriel (pas besoin de consentement pour ce courriel précis, c’est dans mon intérêt légitime)
Je renouvelle le consentement au plus tard tous les 2 ans après la reprise de contact du point précédent

Comme quoi, c’est pas si compliqué, en vrai !

Parenthèse semi-perso : cette « complexité vécue », je trouve que c’est un juste retour de flammes. Combien de courriels indésirables on reçoit par semaine, mois, année ? Personnellement, je décoche SYSTÉMATIQUEMENT tout ce qui touche à l’utilisation de mon adresse de courriel. En théorie et à peu de choses près, je ne devrais même pas recevoir de spam, si tout le monde jouait le jeu. Or, force m’est de constater que ce n’est pas le cas.

Et comme je suis pas rancunier, je vous donne des billes pour vous mettre en conformité. Si c’est pas chouette. Saisissez votre chance de rendre l’Internet meilleur.

(vidéo YouTube faute de mieux, mais en mode « nocookie », je fais ce que je peux 😉 )

Enfin, le mot pour les particuliers dont je parlais plus haut :

Toi, l’utilisateur « lambda » qui pourrait me lire : je la fais courte, mais voilà : fais attention à toi. Sincèrement.

D’autres sont bien mieux placés que moi pour parler des risques que font peser profilage, tracking… sur ta vie privée. Je t’invite à passer dans un « Café vie privée » s’il y en a près de chez toi, pour en discuter, ou à aller voir du côté de Framasoft, de La Quadrature du Net… pour y trouver des informations fiables sur tout ça.

Pour autant, et c’est l’ex-contrôleur de la CNIL qui parle : je sais, conditionner l’accès à un service à la fourniture de données personnelles, c’est moche. Le RGPD tente, certes imparfaitement, d’enrayer ça. Mais le principal levier, c’est toi. Par pitié, prend le temps de lire (même en diagonale) les conditions d’utilisation de ce que tu utilises. Alors oui, je conçois parfaitement qu’un service gratuit, pas mal fichu, utilisé par les potes ou les collègues, ça fasse envie. Mais tout ça, ça a un coût. Ces données, ces portions de vie privée que tu échanges contre ces services, c’est ton paiement. « Si c’est gratuit, c’est toi le produit ». Facebook, Google, Microsoft, Apple, Amazon… collectent et vendent ces données, et les utilisent, pas toujours à votre avantage.

Voilà, tout ça pour dire : soyez prudents, renseignez-vous, des alternatives existent toujours pour protéger ce qui doit l’être.

Pour les plus curieux d’entre vous, voici 3 lectures que je vous conseille (ça n’engage que moi, et je n’ai rien à voir avec les auteurs qui ne passent probablement pas le mulot ici même si je les ai tous déjà rencontrés [les auteurs, pas les mulots, suivez voyons]) :

« La face cachée d’Internet », par Rayna Stamboliyska, qui est à mon sens la meilleure introduction au fonctionnement de l’Internet et à ses pièges. Cet ouvrage est bien écrit, accessible quel que soit votre niveau de connaissances (l’auteure a tout fait pour se mettre au niveau de M. Toulmonde et pour autant même la F.Society aurait appris des choses [petite référence, hein, je sais que vous êtes des gens cultivés]). Un « must-read ».
« La vie privé en péril – Des citoyens sous contrôle », par Alex Türk (ancien président de la CNIL, autant dire que le monsieur en connaît un rayon). On y parle de vie privée, de démocratie, et d’une époque « où la question de savoir si l’on est fiché ou non, localisé ou non, pucé ou non, n’aura même plus de sens ». Pour lui, c’était demain. Je me demande si la nuit n’est pas venue. Quoi qu’il en soit, un très bon ouvrage qui favorise la prise de conscience.
« surveillance:// – Les libertés au défi du numérique : comprendre et agir », par Tristan Nitot. Je ne suis pas un fan inconditionnel de ce livre, et je ne suis pas d’accord avec tout ce qui y est écrit, mais il a l’avantage de rester très (trop ?) simple et de donner des premières clés de compréhension à un public néophyte. On y aborde différents moyens de profilage, et Tristan donne des pistes pour s’en protéger partiellement. Un bon bouquin, à lire une fois et à faire passer au maximum pour éveiller les plus réfractaires, ceux qui n’ont « rien à cacher » 😀

Je reste bien évidemment disponible si vous avez des questions, besoin de compléments, ou même si j’ai fait une bourde dans l’article. Au choix, les commentaires, le formulaire de contact, et pour ceux qui ont besoin de confidentialité, ma clé PGP.

Merci à @NuitsDeChine@cafe.des-blogueurs.org pour sa relecture attentive et ses suggestions d’améliorations et corrections 🙂