Le traitement des données personnelles sur internet est devenu un enjeu crucial ces dernières années. De nombreux services en ligne tel que les moteurs de recherche, les réseaux sociaux ou les sites d’e-commerce récoltent des quantités massives de données sur leurs utilisateurs à des fins publicitaires ou d’amélioration de leurs services.
Ces traitements soulèvent de nombreuses questions sur le respect de la vie privée et la protection des données personnelles des internautes. L’Union Européenne a adopté le Règlement Général sur la Protection des Données (RGPD) en 2018 pour encadrer ces pratiques et renforcer les droits des citoyens.
L’un des principes clés du RGPD est le recueil du consentement : les sites web doivent obtenir le consentement explicite et éclairé des internautes avant de collecter et traiter leurs données personnelles.
Nous allons dans cet article détailler les enjeux du consentement au traitement des données sur internet et les obligations légales qui en découlent pour les sites web et autres services en ligne.
Table des matières
1. Le consentement au cœur du RGPD
Le Règlement Général sur la Protection des Données (RGPD) encadre depuis 2018 le traitement des données personnelles sur le territoire de l’Union Européenne. L’un de ses principes fondamentaux est le consentement des personnes concernées.
Définition du consentement selon le RGPD
Le consentement est défini à l’article 4 du RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le consentement au traitement des données personnelles doit donc réunir plusieurs caractéristiques :
- Être donné de façon libre : il ne doit pas y avoir de contrainte ou de pression excessive sur l’utilisateur
- Être spécifique : il doit porter sur un ou plusieurs objectifs déterminés
- Être éclairé : l’utilisateur doit disposer de toutes les informations nécessaires quant aux finalités et modalités du traitement de ses données
- Être univoque : il doit être formulé par un acte positif clair de l’utilisateur (case à cocher, clic sur un bouton…)
Le consentement est donc bien plus qu’une simple case à cocher ou modalité à accepter rapidement. Il s’agit d’un choix éclairé que l’utilisateur fait en disposant de toutes les informations sur les traitements de données effectués et leurs finalités.
Obligation de recueillir le consentement des internautes
L’article 6 du RGPD pose comme principe que tout traitement de données personnelles n’est licite qu’avec le consentement de la personne concernée.
Les sites web, services en ligne, applications mobiles et autres acteurs du numérique ont donc l’obligation de recueillir le consentement des internautes avant de collecter et d’exploiter leurs données personnelles. Ce consentement est obligatoire pour différents types d’usage :
- Collecte de données de navigation (adresse IP, cookies…)
- Géolocalisation de l’utilisateur
- Création de profils marketing ou publicitaires
- Transmission des données à des partenaires
- Exploitation des données à des fins commerciales ou statistiques
Le non-respect de cette obligation, et donc le traitement de données personnelles sans consentement préalable des personnes, est passible de lourdes sanctions financières (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial).
2. Mise en pratique du recueil du consentement
La mise en pratique du recueil du consentement au traitement des données personnelles soulève de nombreuses questions pour les sites web et services en ligne soumis au RGPD. Voyons les différents points de vigilance et bonnes pratiques à respecter.
Fournir une information complète
Avant de demander leur consentement aux internautes, les sites web ont l’obligation de leur fournir une information complète sur les traitements de données envisagés.
Cette information préalable doit préciser a minima :
- L’identité du responsable de traitement et ses coordonnées
- Les finalités du traitement
- Les bases légales du traitement (dont le consentement)
- Les intérêts légitimes poursuivis si le traitement repose sur ce fondement
- Les destinataires des données
- La durée de conservation des données
- Les droits des personnes sur leurs données
Ces informations doivent être présentées de façon concise, transparente et facilement accessible, dans un langage clair et intelligible pour l’utilisateur moyen.
Recueillir un consentement actif
Le RGPD exige que le consentement soit « univoque » et formulé par un acte positif clair de l’utilisateur. Concrètement, cocher une case ou cliquer sur un bouton est requis.
La seule poursuite de la navigation sur un site ou une bannière mentionnant que « poursuivre votre navigation vaut consentement » ne suffit pas. Le consentement doit résulter d’une action volontaire non équivoque.
Idéalement, le formulaire de consentement ne doit pas être pré-coché et l’utilisateur doit cocher lui-même la ou les case(s) correspondant aux traitements de données auxquels il consent.
Consentement modulaire
Pour renforcer la liberté du consentement, le site doit proposer à l’utilisateur de consentir séparément à différentes finalités de traitement de données.
On parle de consentement « modulaire » ou « granulaire ». Par exemple, l’internaute doit pouvoir refuser les traitements de données à des fins de profilage marketing ou de transmission à des partenaires, tout en acceptant les traitements nécessaires au fonctionnement du service.
Consentement spécifique pour certains traitements sensibles
Certains traitements de données considérées comme sensibles ou susceptibles d’avoir un fort impact sur les droits et libertés des personnes requièrent un consentement explicite et spécifique. C’est notamment le cas :
- Du traitement des données révélant l’origine raciale ou ethnique
- Des opinions politiques
- Des convictions religieuses ou philosophiques
- De l’appartenance syndicale
- Des données génétiques
- Des données biométriques
- Des données concernant la santé
- Des données concernant la vie ou l’orientation sexuelles
- Du profilage
Un formulaire de consentement spécifique est requis pour informer clairement l’utilisateur et recueillir son accord express.
Facultativité et droit de retrait du consentement
Le caractère libre et non contraint du consentement implique plusieurs obligations pour les sites web :
- Caractère facultatif : l’utilisateur doit pouvoir refuser de consentir sans que cela n’affecte l’accès au service. Le consentement aux traitements de données à des fins commerciales ou statistiques ne peut pas être obligatoire.
- Absence de conditionnement : le service ou contenu principal recherché par l’utilisateur ne peut pas être conditionné au consentement aux traitements de données non nécessaires à ce service.
- Droit de retrait : l’utilisateur garde à tout moment la possibilité de retirer son consentement. Une option doit lui être proposée à cet effet (dans les paramètres de confidentialité par exemple).
3. Recueil du consentement en pratique sur les sites web
Après ces rappels théoriques et réglementaires, intéressons-nous à présent aux modalités pratiques de mise en oeuvre du recueil du consentement des internautes sur les sites et applications web soumis au RGPD.
La méthode la plus répandue est l’affichage de bannières de consentement, également appelées « consent banners » en anglais. Il s’agit de bandeaux apparaissant en surimpression lors de la première visite de l’internaute sur le site.
Ces bannières affichent un message d’information sur les traitements de données et les finalités poursuivies, et proposent à l’utilisateur de paramétrer son consentement avant de poursuivre sa navigation.
Show Image
Exemple de bannière de consentement aux cookies et autres traceurs
Les consent banners présentent l’avantage d’informer et de recueillir le consentement dès l’arrivée sur le site. Mais elles peuvent être intrusives ou considérées comme une étape contraignante par beaucoup d’internautes pressés de consulter le contenu du site.
Fenêtres modales (« pop-in »)
Une alternative plus discrète sont les fenêtres modales de consentement ou « consent pop-in ». Une petite icône est affichée en bas de l’écran, et si l’utilisateur clique dessus, une fenêtre modale s’ouvre au premier plan pour lui présenter les informations RGPD et lui proposer de paramétrer son consentement.
L’avantage est la discrétion de l’icône, qui attire moins immédiatement l’attention que les bannières de consentement. Mais le risque est aussi que certains utilisateurs ne la remarquent pas et poursuivent leur navigation sans avoir été informés ni avoir consenti explicitement aux traitements de leurs données.
Page ou modalité dédiée au consentement
Une autre possibilité est de rediriger l’utilisateur vers une page ou fenêtre dédiée au paramétrage de son consentement aux traitements de données.
Cette page présente de façon complète et détaillée les informations RGPD, les finalités poursuivies, et propose à l’internaute de faire ses choix de consentement de façon approfondie pour chaque type de traitement.
Cette approche plus complète et modulaire respecte mieux l’esprit du RGPD. Mais elle requiert de concevoir une page dédiée ergonomique, et peut rebuter ou perdre en route certains internautes peu enclins à faire l’effort de paramétrer en détail leurs préférences de confidentialité.
Consentement contextuel
Enfin, une approche plus contextuelle et dynamique du consentement tend à se développer. Plutôt que de demander un consentement général en amont de la navigation, celui-ci est sollicité « à la volée » quand certains traitements de données sont sur le point d’être effectués.
Par exemple, avant le dépôt d’un cookie sur le navigateur de l’internaute, une fenêtre modale s’ouvre pour lui demander son autorisation spécifique. Ou lorsqu’il clique sur un lien pour accéder à une page incluant un tracking publicitaire, une fenêtre de consentement à ce tracking apparaît à ce moment précis.
Cette méthode permet un consentement pleinement contextualisé et éclairé sur le traitement exact sur le point d’être effectué. Elle respecte au mieux l’esprit du RGPD mais peut avoir un impact plus intrusif sur l’expérience utilisateur à force de sollicitations répétées au fil de la navigation.
Conclusion
Le consentement explicite et éclairé au traitement des données personnelles est devenu une pierre angulaire de la protection de la vie privée avec le RGPD. Mais sa mise en pratique soulève de nombreux défis techniques et ergonomiques pour les sites web et applications mobiles, partagés entre le respect strict du règlement et la volonté de ne pas trop perturber l’expérience utilisateur.
De nouvelles solutions émergent, qu’il s’agisse de bannières de consentement mieux intégrées, de modales discrètes sollicitant le consentement au bon moment, ou encore d’interfaces permettant un paramétrage granulaire des préférences de confidentialité.
Mais quelles que soient les modalités retenues, le principe cardinal reste le même : l’utilisateur doit disposer d’une information complète et compréhensible sur les traitements de ses données, et son consentement doit être recueilli de façon active, spécifique et réversible à tout moment.