RGPD : Comment obtenir le consentement explicite?
Un silence ne vaut pas consentement, rappelle le Règlement général sur la protection des données personnelles (RGPD). Pas plus qu'une case cochée par défaut.
Je m'abonneFini les cases précochées sur les formulaires. Avec l'entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD), le 25 mai 2018, les marques sont appelées à mettre de l'ordre dans leurs démarches de recueil des consentements clients. Aux oubliettes, donc, le cochage par défaut des cases d'acceptation d'offres commerciales... mais aussi le consentement recueilli par simple acceptation des conditions générales d'utilisation ou de vente. Le RGPD réaffirme en la matière les préceptes de recueil inscrits dans la loi de 1978 et dans la directive de 1995.
Le consentement... éclairé
Ainsi, le considérant 32 du Règlement indique que le consentement doit "être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant". Et ce, par le biais d'une déclaration orale ou par voie électronique. "Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ", poursuit le texte. Au contraire, lors de la consultation d'un site internet, les formulaires se doivent de comporter des cases d'"opt-in" afin que l'internaute puisse signifier son consentement à l'utilisation de ses données personnelles, mais également, des cases "d'opt-out " lui permettant de mettre un terme à cet accord. Il doit donc être aussi simple de donner son consentement à l'usage de ses données... que de le retirer. Et il convient d'en informer le consommateur. "Le client doit avoir la possibilité de choisir de partager la totalité de ses données, ou une partie seulement ou, encore, aucune donnée, rappelle Olivier Martineau, CEO de Spread, solution marketing d'engagement client. L'acte de consentement doit donc être un acte positif, via un bouton cliquable ou une case à cocher, par exemple", confirme-t-il.
Pour permettre le consentement "éclairé " et explicite, la bonne pratique consiste également à indiquer la finalité du traitement de la donnée, dans des termes clairs et faciles à comprendre (l'emploi de la double négation est interdit, par exemple). Mais il convient également de préciser la durée de conservation de l'information collectée et, si tel est le cas, le nom des entités qui en sont les destinataires (prestataires, notamment). Le consentement vaut pour toutes les activités de traitement disposant de la ou des mêmes finalités. Cependant, ajoute le Règlement général sur la protection des données, "lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles". Inscription à une newsletter, prospection commerciale, création d'un compte fidélité : l'utilisateur est tenu d'être informé, pour chaque action, des traitements de données effectuées par la marque.
Les marques ont-elles saisi la nécessité de se mettre en ordre de marche ? 88 % attestent fournir à leurs clients des informations sur les données collectées et traitées, selon le dernier baromètre du cabinet Converteo (novembre 2017) mené sur la mise en conformité des acteurs au RGPD. Pour autant, tous les critères du Règlement sont loin d'être adressés : 84 % des acteurs ne fournissent pas d'information à leurs clients sur les destinataires du partage des données personnelles, à savoir s'il s'agit de la marque elle-même, de ses sous-traitants ou de prestataires tiers. 40 % des marques ne répondent pas, non plus, à l'obligation de transmettre les informations sur les finalités de traitement de la donnée personnelle. Et 76 % n'indiquent pas à leurs clients les durées de conservation de leurs data.
Le consentement... canal par canal
Il appartient aussi aux marques d'obtenir le consentement de leurs clients canal par canal. "Il est nécessaire de tracker tous les points de contact on line et off line aux travers desquels les marques souhaiteraient entrer en contact avec leurs consommateurs, conseille Jérémy Dallois, fondateur et CEO de ReachFive, solution de Customer Identity and Access Management (spécialisée dans la gestion des identités clients et de l'authentification), que ce soit un e-mail, un SMS, un courrier ou, encore, un appel ou un chatbot." Puis, pour chaque canal, de définir des opérations marketing adéquates : jeux concours, messages de fête ou d'anniversaire, par exemple.
"Le RGPD offre l'opportunité de revoir les flux de gestion des données personnelles et les parcours clients via l'authentification, premier point de contact avec le consommateur pour récupérer son consentement", prône le CEO de ReachFive, qui a lancé, début mars 2018, un module de gestion des consentements des internautes, "Smart Consent ", intégré à sa solution. L'outil sécurisé et configurable donne la possibilité à chaque utilisateur d'accorder leur consentement et d'assurer le "versioning" des traitements de données, à savoir le retrait des données pour chaque finalité. Toute modification de l'accord du consommateur est synchronisée instantanément avec l'écosystème de l'entreprise. "Ce nouveau module va dans le sens de la reconstruction d'un lien de confiance entre les marques et leurs consommateurs", relève Jérémy Dallois. Essentiel alors que 64 % des marques ne permettent pas encore à leurs utilisateurs de mettre à jour leurs consentements, précise le baromètre Converteo.
Le consentement... bien stocké
Une fois l'opt-in collecté, encore faut-il régulièrement s'assurer de la qualité et de la mise à jour de sa base de données, fait part Olivier Martineau. "Il est nécessaire de pouvoir retrouver facilement dans sa base la trace écrite de consentement de chaque contact, ainsi que son contexte - la façon dont a été obtenu le consentement." Si tel n'est pas le cas, l'annonceur ne peut adresser de campagnes marketing à ces contacts, ni, faut-il le rappeler, vendre ces données à des partenaires. Une base de données actualisée contiendra ainsi les data de l'individu ayant répondu favorablement au traitement de ses données, mais, aussi, la date d'obtention de ces informations, et l'objectif "précis " du traitement. "20 % des consentements vont, en moyenne, être détruits, relève le CEO de Spread France, qui se veut rassurant. L'écrémage va permettre à la base de données de gagner en qualité et en délivrabilité."
Le consentement... ou l'intérêt légitime ?
Le RGPD introduit néanmoins des exceptions au recueil du consentement avec, notamment, la notion d'"intérêt légitime". "Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime", informe le considérant 47 du Règlement européen. Ainsi, le consentement ne serait pas obligatoire pour des prospections commerciales ? Toute entreprise pourrait, selon l'interprétation du texte, collecter et traiter des données personnelles, sans le consentement des personnes concernées, si celle-ci prouve agir dans le cadre d'"intérêt légitime" (comme le but de prévenir la fraude) et ne pas avoir d'impact injustifié sur les individus.
La Cnil rappelle en ce sens que le consentement de la personne dont les données sont enregistrées dans un fichier n'est pas nécessaire lorsque ces données sont collectées "pour l'exécution d'un contrat ou d'un devis, pour une mission d'intérêt public ou pour un intérêt légitime tel que le transfert de données au sein d'un groupe [...] sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent". Le non-recueil du consentement ne dispense pour autant pas les marques d'informer les personnes sur leurs droits de s'opposer aux traitements, notamment dans un cadre commercial.
Le consentement... ou la sanction
Ainsi, l'application WhatsApp a été épinglée par la Cnil, en novembre 2017, pour transferts massifs de données à Facebook (propriétaire de l'app), dans la "mesure où cette transmission ne s'accompagne pas des garanties suffisantes permettant de préserver l'intérêt ou les droits et libertés fondamentaux des utilisateurs. [Et ce] puisqu'il n'existe aucun mécanisme leur permettant de s'y opposer tout en continuant à utiliser l'application ", explique la Cnil dans sa mise en demeure publique. En pleine révolution #metoo, il en va du RGPD, comme de la drague : si l'individu n'a pas dit "oui", c'est que c'est "non".
Pour aller plus loin :
- 3 solutions pour être RGPD compatible au 25 mai 2018
- Quelle est la maturité des marques sur la protection des données ?
- Les conseils de ceux qui sont prêts