Accueil > Actualités > Le point sur les lignes directrices RGPD du G29 : des précisions utiles pour le secteur du marketing

L'actualité DDG

Le point sur les lignes directrices RGPD du G29 : des précisions utiles pour le secteur du marketing

Le Groupe de l’Article 29 (G29) vient de publier, en toute discrétion, deux séries de "Guidelines", qui viennent enrichir et interpréter le Règlement Européen sur les Données Personnelles (RGPD), sur le consentement et sur la transparence.

Ces Guidelines s’ajoutent à celles déjà publiées par le G29 sur le Délégué à la Protection des données personnelles, les études d’impact, l’autorité chef de file, le droit à la portabilité, la notification de violations et plus récemment la proposition de Guidelines sur le profilage. Une fois les Guidelines sur la certification (en cours d’élaboration) publiées, le groupe des "CNIL" Européennes aura achevé la série de Guidelines qu’il avait annoncées comme prioritaires pour 2017.

Sur la notion de "consentement", le G29 rappelle qu’il ne s’agit que d’un fondement possible parmi d’autres du traitement de données personnelles. Il ne devrait légitimer un traitement que si aucune autre base légale (exécution d’un contrat, intérêts légitimes du responsable du traitement, etc.) n’apparait plus appropriée. Ensuite, seul le consentement présentant certaines qualités légitime un tel traitement. Le G29 souligne notamment que le consentement  doit être :

  • Libre – Pour être valable, le consentement ne doit pas être lié ou conditionné. Cela implique que la fourniture d’un bien ou d’un service ne peut être subordonnée à l’obtention du consentement de l’intéressé.
  • Spécifique   Le G29 défend la "granularité" du consentement, qui suppose un opt in distinct pour chaque type de finalité (par exemple, prospection commerciale d’une part et partage des données avec les partenaires commerciaux d’autre part).
  • Informé – le consentement n’est valable que s’il a été donné en pleine connaissance de cause, ce qui implique une information préalable exhaustive et claire sur la le traitement et ses finalités.

On retiendra également quelques précisions intéressantes du G29 concernant la conservation du consentement et le consentement des mineurs, ainsi qu’une mise en garde de taille pour la conformité RGPD : tous les traitements de données personnelles antérieurs au 25 mai 2018 qui seraient fondés sur le consentement cesseront à cette date d’être légaux si le consentement ne présentait pas les qualités exigées par le RGPD ou s’il n’est plus possible d’en rapporter la preuve. Des audits s’imposent !

Les Guidelines sur le Transparence rassemblent quant à elles nombre de recommandations et mesures pratiques pour garantir l’accès des personnes concernées à une information complète, facilement accessible et compréhensible, avant et tout au long du traitement.

Ces deux documents (qui se complètent  utilement) enrichissent le Règlement Européen  en illustrant deux volets d’un même principe fondamental : le droit des personnes concernées, et notamment celui de consentir ou de s’opposer à un traitement de données personnelles, n’est correctement respecté que si ces dernières ont été préalablement parfaitement informées de la nature et de la finalité de ce traitement. Avec les Guidelines sur le profilage, celles sur le consentement et la transparence forment un corpus d’interprétation fondamental pour toutes les entreprises qui font un usage marketing de la data.

Ces deux séries de guidelines ne sont pas définitives puisque elles pourront être modifiées à l’issue d’une période de consultation : le public est invité à adresser ses commentaires au G29 jusqu’au 23 janvier 2018 au plus tard.

 

Frédéric DUMONT - Julie AZOULAI