Avec la date limite du 25 mai 2018 qui pointe à l'horizon, les entreprises ont encore quelques mois pour se mettre en ordre avec les nouvelles règles relatives à la vie privée déposées dans le Règlement général sur la protection des données, mieux connu sous le nom de «General Data Protection Regulation» (‘GDPR’).
Néanmoins, il règne encore de l'incertitude sur les conséquences du GDPR, telles que, par exemple, en ce qui concerne votre liste de diffusion existante. C'est aussi logique étant donné que de nombreuses entreprises s'occupent, depuis des années déjà, de sa structure.
Tout comme dans le présent règlement, le ‘consentement’ constitue, dans le GDPR également, l'une des six bases juridiques possibles sur la base desquelles on peut traiter des données à caractère personnel. Les exigences pour parler d'un consentement valable ont toutefois été rendues plus sévères, de sorte que les entreprises doivent vérifier au cas par cas si le consentement déjà obtenu suffit aussi après le GDPR.
Consentement
Dans le GDPR, le consentement de la personne concernée est défini comme «toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Tout comme dans la loi actuelle relative à la protection de la vie privée, le consentement de la personne concernée doit être, sous le GDPR, «libre, spécifique, éclairé et univoque». Bien que ces conditions de validité ne sont pas nouvelles par rapport à la loi actuelle relative à la vie privée, le GDPR fixe des standards plus élevés pour y satisfaire. Ainsi, le consentement de la personne concernée doit ressortir clairement d'une déclaration ou d'un acte positif.
Les obligations d'information à l'égard des personnes concernées sont aussi fortement élargies. La personne concernée dont les données sont traitées, doit être informée d'une façon compréhensible et accessible sur, par exemple, la base juridique sur laquelle le traitement de données est fondé et sur les droits dont elle dispose dans ce cadre (par exemple le droit à l'oubli et le droit à la limitation du traitement).
Tout cela s'inscrit dans l'esprit du GDPR: donner à la personne concernée plus de contrôle et de mot à dire sur les données qui ont trait à elle.
Effets
Cela a pour conséquence que les entreprises ne peuvent continuer d'utiliser leur liste de diffusion existante après le 25 mai 2018 que lorsque cette utilisation repose sur un consentement déjà obtenu qui satisfait aux nouveaux standards du GDPR.
Dans presque tous les cas, un consentement obtenu dans le passé ne passera toutefois pas le test du GDPR. Le consentement obtenu par le biais d'une case à cocher qui a été cochée ou au moyen d'un consentement général donné sur la base des conditions générales n'est en effet plus suffisant. Si votre liste de diffusion existante était fondée là-dessus, vous ne pourrez dès lors plus utiliser ces données.
Vous le sentez déjà venir: cela peut avoir un grand impact sur votre base de données existante!
En d'autres termes, vous devrez (généralement) de nouveau demander le consentement pour les données à caractère personnel déjà collectées.
Conforme au GDPR
Vous faites bien, en tant qu'entreprise, de veiller déjà maintenant à penser et à agir en conformité avec le GDPR. Cela exigera un sacré effort au début, mais à plus long terme cela profitera à votre entreprise. Contrôlez donc de quelle façon vous demandez aujourd'hui le consentement de quelqu'un et comment vous conservez celui-ci. Veillez à effectuer des adaptations là où c'est nécessaire. En effet, vous devez pouvoir prouver, en tant que responsable du traitement, qu'il y a un consentement valable pour les données à caractère personnel que vous avez conservées.
Il peut dès lors être sensé de mettre sur pied une campagne de réactivation, par laquelle vous demandez expressément à votre fichier de clients si vous pouvez encore les contacter à l'avenir. Cela signifie toutefois que lorsque les personnes concernées ne réagissent pas à cette demande, vous ne pouvez plus utiliser les données à caractère personnel.
Une autre base juridique ?
Sur la base du GDPR, il est crucial de toujours déterminer une base légale pour chaque traitement de données. Vu les conditions sévères pour pouvoir parler d'un consentement valable et le fait qu'une personne concernée peut retirer son consentement à tout moment, le consentement ne constitue pas toujours la base juridique la plus appropriée.
Nous ne pouvons dès lors pas perdre de vue que le consentement est l'une des six bases de traitement possibles sur la base desquelles nous pouvons traiter des données. Dans certains cas, le traitement peut dès lors être mieux fondé sur l'une des cinq autres bases de traitement, à savoir: le caractère nécessaire pour l'exécution d'une convention, pour la défense d'un intérêt légitime, pour satisfaire à une obligation légale, pour remplir une tâche d'intérêt général ou pour protéger les intérêts vitaux de la personne concernée.
Pas (ou plus) de picorage
L'article 6.1 du GDPR dispose que «le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie». Il doit donc au moins y avoir une base juridique, mais cela signifie-t-il aussi que lorsqu'une base de traitement ne rencontre pas de succès, on peut retomber sur une autre? En d'autres termes, pouvez-vous par exemple invoquer l'intérêt légitime comme base juridique pour le traitement, en cas d'un consentement non valable?
Il est répondu à cette question par la négative dans une directive consultative du 28 novembre 2017 du Working Party 29 (‘WP29’), un organe consultatif européen au sujet de la protection des données.
Le WP29 clarifie qu'un traitement pour un but spécifique ne peut être fondé sur de multiples bases juridiques. Lorsqu'en revanche un traitement de données a plusieurs buts pouvant être spécifiés, chaque objectif séparé peut toutefois être lié à l'une des six bases juridiques. Dans un certain nombre de cas, plusieurs bases juridiques pourraient aussi être liées à un objectif, mais ce n'est pas permis. Le responsable du traitement doit, de façon transparente, opérer un choix et déterminer la base juridique préalablement au traitement. Il est recommandé de documenter et de motiver ce processus de choix, étant donné que cela peut jouer un rôle important dans les contestations ou dans les plaintes après coup.
Une fois que le processus du traitement des données a commencé, il n'est plus possible de ‘changer’ de base juridique. Lorsque, par exemple, il s'avère que le consentement n'est pas (ou plus) valable pour un traitement, il n'est pas permis de justifier le traitement avec une autre base que le back-up.
Il est donc important de bien réfléchir à une base juridique appropriée avant de commencer un traitement. Tel qu'il s'est avéré, des standards élevés s'appliquent pour un consentement valable et la personne concernée peut retirer le consentement à tout moment. En outre, il n'est plus possible, pendant le processus du traitement des données, de justifier le traitement avec une autre base juridique.
Auteurs: Jill Leen et Kristof Zadora, Avocats Monard Law
