Bonjour à toutes les personnes concernées par le consentement,
imaginez que vous faites du shopping en ville et que vous trouvez soudain la paire de chaussures parfaite. Vous entrez dans le magasin, prêt à dépenser de l'argent. Mais la vendeuse vous informe qu'elle ne peut pas vous demander votre pointure tant que vous n'avez pas lu et accepté la déclaration de confidentialité (DSE).
WHAT ?! VRAI, MAINTENANT ?! - Bien sûr que non !
En entrant dans le magasin, vous avez fait une déclaration d'intention en vue d'initier éventuellement un acte juridique. Dans les relations juridiques, on appelle également cela un "comportement implicite".
Wikipedia écrit à ce sujet :
"Il y a acte concluant ou implicite (du latin concludere "déduire", "tirer une conclusion") (également comportement concluant, déclaration de volonté tacite ou acte implicite) dans les relations juridiques lorsqu'une personne exprime sa volonté par un comportement non verbal et que le destinataire de bonne foi peut en déduire une volonté de s'engager juridiquement, de sorte qu'un contrat peut être conclu même sans déclaration de volonté expresse".
Vous entrez dans le magasin pour acheter des chaussures - vous avez donc la volonté d'initier une transaction et de conclure un contrat correspondant. Et pour que les chaussures vous aillent, vous savez dès le départ que votre pointure est une donnée personnelle indispensable. C'est logique, non ?
Alors pourquoi trouve-t-on sur de nombreux sites Internet des formulaires de contact avec des cases à cocher obligatoires ? On ne peut envoyer la demande que si l'on active la case à cocher et que l'on confirme ainsi que l'on est
- accepte que ses données soient traitées pour répondre à sa demande ou
- a lu la DSE et l'a acceptée ou y consent.
A quoi cela sert-il ? Il se peut que les exploitants de sites web ou les agences optent pour le consentement par ignorance ou par crainte de recevoir des avertissements. Ils partent peut-être tout simplement du principe que c'est la manière la plus simple et la plus sûre de procéder.
Mais attention, on peut se tromper lourdement. Car avec le consentement, c'est une autre histoire. D'une part, il faut documenter le fait que le consentement a été obtenu de manière légale. Et d'autre part, les personnes concernées ont le droit de révoquer à tout moment le consentement qu'elles ont donné.
Les processus doivent donc être suivis et documentés et, en cas de révocation, les données doivent être immédiatement effacées conformément au RGPD (systèmes actifs, sauvegardes, etc.). Ce qui semble d'une simplicité séduisante comporte en réalité quelques pièges et entraîne une charge de travail considérable.
Que dit le RGPD ?
Le RGPD prévoit à l'article 6 toute une série de "conditions d'autorisation" dans lesquelles le traitement des données à caractère personnel est autorisé. Les articles pertinents pour notre formulaire de contact sont les suivants :
Art. 6, alinéa 1, lettre a : Consentement de la personne concernée
Art. 6, alinéa 1, lettre b : exécution d'un contrat ou exécution de mesures précontractuelles
Art. 6, al. 1, let. f : intérêt légitime du responsable du traitement
Art. 6, alinéa 1, lettre a : Consentement de la personne concernée
Il existe des traitements pour lesquels le consentement doit obligatoirement être obtenu. Il s'agit par exemple de l'utilisation de certains outils de marketing ou de suivi/d'analyse, etc. Selon l'autorité bavaroise de surveillance de la protection des données, "le consentement est requis pour les formulaires de contact lorsque des catégories particulières de données à caractère personnel sont traitées conformément à l'article 9, paragraphe 1, du RGPD. Cela peut être le cas, par exemple, lorsque des données relatives à la santé sont demandées via le formulaire pour obtenir un rendez-vous chez un médecin, lorsque le formulaire de contact est utilisé pour s'inscrire auprès d'une association religieuse ou d'un parti politique, ou lorsque l'utilisateur peut télécharger des pièces jointes qui permettent de tirer des conclusions sur les données relatives à la religion, l'origine ethnique, l'orientation sexuelle, etc [1]".
[1] Extrait du rapport d'activité 2017/2018 du LDA bavarois de mars 2019 -
Ce n'est pas le cas pour un formulaire de contact qui ne contient pas de données particulièrement sensibles. Par conséquent, pour la plupart des cas d'application, l'utilisation d'un formulaire de contact peut se fonder sur d'autres bases juridiques.
Art. 6, alinéa 1, lettre b : exécution d'un contrat ou exécution de mesures précontractuelles
Art. 6, al. 1, let. f : intérêt légitime du responsable du traitement
L'autre possibilité est de fonder l'utilisation d'un formulaire de contact sur l'intérêt légitime de l'exploitant du site. Il est en effet évident que l'exploitant du site a un intérêt évident et justifié à répondre à une demande qui lui est adressée.
Le législateur stipule certes que le traitement de données fondé sur ce motif juridique doit faire l'objet d'une mise en balance des intérêts. Toutefois, lors de l'utilisation d'un formulaire de contact, il faut logiquement partir du principe que les intérêts des parties concernées coïncident : L'une fait une demande et attend une réponse, l'autre souhaite répondre à la demande.
Attention au mélange avec les bases contractuelles
Nous constatons donc qu'une "case de contrôle obligatoire" est inutile pour la plupart des formulaires de contact. Avec la DSE, nous ne faisons que remplir notre devoir d'information conformément au RGPD. Aucun prospect ou client n'est obligé de lire réellement l'information et encore moins de l'approuver ou de l'accepter.
Il existe toutefois une autre raison - non liée à la protection des données - de ne pas utiliser ces cases à cocher :
La définition d'un champ obligatoire pour la reconnaissance et l'acceptation de la DSE peut donner l'impression que la DSE est une partie intégrante du contrat - comme les CGV. Or, ce n'est PAS le cas !
En décembre 2018, la Cour d'appel de Berlin a examiné le cas d'une boutique en ligne qui, lors du processus de commande, demandait au client d'accepter l'"accord de protection des données" du fournisseur via une case à cocher. La Cour d'appel a décidé (numéro de dossier 23 U 196/13) qu'une grande partie des dispositions relatives à la protection des données étaient contraires au droit des conditions générales, car elles n'étaient pas compatibles avec des idées fondamentales essentielles du RGPD.
La Cour d'appel a jugé que pour distinguer s'il s'agissait de conditions contractuelles générales contraignantes ou d'indications non contraignantes, il fallait viser la compréhension du "client moyen sans formation juridique". Pour ce dernier, les conditions générales du fournisseur et l'"accord sur la protection des données", qui doit être accepté séparément, apparaissaient comme des "conditions contractuelles" qu'il devait accepter s'il voulait passer commande, en raison des formulations utilisées par le fournisseur et de l'obligation de consentement. Le tribunal a donc soumis l'ensemble du texte à un contrôle des conditions générales.
Il est donc conseillé de faire une distinction nette entre les informations pures et les éléments du contrat afin d'éviter les mauvaises rencontres avec les avocats et les tribunaux.
Conclusion
Ce qui est important
- Le cryptage HTTPS selon l'état actuel de la technique est une condition absolue pour l'utilisation d'un formulaire de contact.
- Dans le cadre de la minimisation des données, seuls les champs vraiment pertinents doivent être définis comme obligatoires dans le formulaire de contact. Il convient d'examiner au cas par cas quels sont ces champs. Par exemple, pour un vendeur en ligne de réfrigérateurs, l'âge du demandeur n'est pas une donnée pertinente. En revanche, elle peut l'être pour un magasin de cigarettes électroniques. Selon la devise "autant que nécessaire, aussi peu que possible" il convient donc de ne définir comme champs obligatoires que les entrées qui sont effectivement nécessaires pour répondre à la demande.
- Il faudrait également placer un lien vers la DSE dans le formulaire de contact, afin que les personnes intéressées puissent facilement obtenir les informations souhaitées. Quelque chose comme ça : "Vous trouverez de plus amples informations sur le traitement des données à caractère personnel dans notre déclaration de protection des données".
- Dans la DSE elle-même, il convient d'ajouter une mention correspondante au formulaire de contact, qui indique quelles données sont traitées, à quelles fins et par qui, sur quelle base juridique et pendant combien de temps elles sont conservées.
Liens et informations complémentaires
Vous trouverez de plus amples informations et de l'aide notamment dans Art. 6, alinéa 1, RGPD et dans le Considérant 47 du RGPD. Entre-temps, on trouve également dans la littérature spécialisée des publications assez compréhensibles et proches de la pratique. L'Office bavarois de surveillance de la protection des données fait référence à une publication dans un communiqué de presse sous https://www.lda.bayern.de/media/pm2018_15.pdf. Sur le site du gourou de la protection des données, on trouve un article (toujours d'actualité) très divertissant sur ce thème. Podcast. Ou alors, il suffit de se renseigner auprès d'un spécialiste de la protection des données en qui on a confiance.
Mentions légales
J'ai rédigé les informations contenues dans cet essai en toute bonne foi et les ai accompagnées de mon appréciation. Bien que j'aie fait tous les efforts possibles pour m'assurer que toutes les informations sont à jour, je ne garantis pas l'exhaustivité ou l'exactitude des informations.
Les contenus servent uniquement à des fins d'information sans engagement. Ils ne constituent expressément pas un conseil juridique au sens de la loi sur le conseil juridique (RBerG) et ne peuvent donc pas non plus remplacer les conseils d'un avocat. Je décline toute responsabilité en cas d'erreur ou d'omission et ne saurais être tenu responsable de tout dommage découlant d'un contrat, d'un acte illicite ou autre, de l'utilisation ou de la confiance accordée à ces informations, ou de toute action ou décision prise à la suite de l'utilisation de ces informations.
