Le Groupe de l’Article 29 (G29) vient de publier, en toute discrétion, deux séries de « Guidelines », qui viennent enrichir et interpréter le Règlement Européen sur les Données Personnelles (RGPD), sur le consentement et sur la transparence.
Ces Guidelines s’ajoutent à celles déjà publiées par le G29 sur le Délégué à la Protection des données personnelles, les études d’impact, l’autorité chef de file, le droit à la portabilité, la notification de violations et plus récemment la proposition de Guidelines sur le profilage. Une fois les Guidelines sur la certification (en cours d’élaboration) publiées, le groupe des « CNIL » Européennes aura achevé la série de Guidelines qu’il avait annoncées comme prioritaires pour 2017.
Le G29 rappelle qu’il ne s’agit que d’un fondement possible parmi d’autres du traitement de données personnelles. Il ne devrait légitimer un traitement que si aucune autre base légale (exécution d’un contrat, intérêts légitimes du responsable du traitement, etc.) n’apparait plus appropriée.
Ensuite, seul le consentement présentant certaines qualités légitime un tel traitement. Le G29 souligne notamment que le consentement doit être :
On retiendra également quelques précisions intéressantes du G29 concernant la conservation du consentement et le consentement des mineurs, ainsi qu’une mise en garde de taille pour la conformité RGPD : tous les traitements de données personnelles antérieurs au 25 mai 2018 qui seraient fondés sur le consentement cesseront à cette date d’être légaux si le consentement ne présentait pas les qualités exigées par le RGPD ou s’il n’est plus possible d’en rapporter la preuve. Des audits s’imposent !
Les Guidelines sur le Transparence rassemblent quant à elles nombre de recommandations et mesures pratiques pour garantir l’accès des personnes concernées à une information complète, facilement accessible et compréhensible, avant et tout au long du traitement.
Ces deux documents (qui se complètent utilement) enrichissent le Règlement Européen en illustrant deux volets d’un même principe fondamental : le droit des personnes concernées, et notamment celui de consentir ou de s’opposer à un traitement de données personnelles, n’est correctement respecté que si ces dernières ont été préalablement parfaitement informées de la nature et de la finalité de ce traitement. Avec les Guidelines sur le profilage, celles sur le consentement et la transparence forment un corpus d’interprétation fondamental pour toutes les entreprises qui font un usage marketing de la data.
Ces deux séries de guidelines ne sont pas définitives puisque elles pourront être modifiées à l’issue d’une période de consultation : le public est invité à adresser ses commentaires au G29 jusqu’au 23 janvier 2018 au plus tard.
