DSB Autri­che : L’ab­sence de pro­cé­du­re de dou­ble opt-in com­me vio­la­ti­on du RGPD 32

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

,

Thè­mes

Ven­te à emporter (AI)
  • L’au­to­ri­té autri­chi­en­ne de pro­tec­tion des don­nées a déci­dé le 9 octobre 2019 qu’en ver­tu de l’ar­tic­le 32 du RGPD, un dou­ble opt-in était obli­ga­toire pour les inscrip­ti­ons à des ren­con­tres en ligne.
  • La pla­te-for­me auto­ri­sait une uti­li­sa­ti­on limi­tée sans dou­ble opt-in con­fir­mé, avec des invi­ta­ti­ons répé­tées tou­tes les 3 à 5 minutes.
  • Des incon­nus ont créé des pro­fils avec l’e-mail d’un mineur ; le DPD a con­sta­té des mesu­res de sécu­ri­té des don­nées insuf­fi­san­tes con­for­mé­ment à l’ar­tic­le 32 du RGPD.
  • La CPD n’a pas cla­ri­fié de maniè­re défi­ni­ti­ve les cir­con­stances dans les­quel­les le dou­ble opt-in est géné­ra­le­ment néces­saire (publi­ci­té vs. service/situation contractuelle).

L’au­to­ri­té autri­chi­en­ne de pro­tec­tion des don­nées (DSB) a, par décis­i­on du 9 octobre 2019 (DSB-D130.073/0008-DSB/2019) a con­sta­té que, con­for­mé­ment à l’ar­tic­le 32 du RGPD (sécu­ri­té des don­nées), une pro­cé­du­re de dou­ble opt-in est obli­ga­toire pour les inscrip­ti­ons sur une pla­te­for­me de ren­cont­re en ligne.

L’in­scrip­ti­on et une uti­li­sa­ti­on limi­tée de la pla­te-for­me étai­ent pos­si­bles sans dou­ble opt-in :

Il est cor­rect que l’uti­li­sa­teur pui­s­se uti­li­ser le por­tail de maniè­re limi­tée après s’êt­re inscrit, avoir expli­ci­te­ment con­fir­mé son âge et son lieu de rési­dence et avoir été invi­té à con­firm­er son e‑mail DoubleOptIn.

La deman­de de con­fir­ma­ti­on de son e‑mail Dou­ble­Op­tIn arri­ve à un ryth­me régu­lier (tou­tes les 3 à 5 minu­tes) au sein du por­tail, tant que l’uti­li­sa­teur ne l’a pas confirmée.

En l’e­spè­ce, une per­son­ne incon­nue avait uti­li­sé l’adres­se élec­tro­ni­que du plaignant mineur pour cré­er deux pro­fils sur les por­tails de ren­cont­re en ligne de l’in­ti­mée, ce qui con­sti­tue un trai­te­ment de don­nées illi­ci­te. Dans ce con­tex­te, la CPD par­vi­ent à la con­clu­si­on suivante :

Le fait que l’in­ti­mée pas de mesu­res de sécu­ri­té des don­nées suf­fi­san­tes, con­for­mes à l’art. 32 RGPD a mis en place, il était pos­si­ble que des don­nées à carac­tère per­son­nel du plaignant – à savoir l’adres­se élec­tro­ni­que ***@***.com – soi­ent trai­tées illé­ga­le­ment, ce qui a por­té att­ein­te au droit fon­da­men­tal du plaignant à la con­fi­den­tia­li­té en ver­tu de l’ar­tic­le 1, para­gra­phe 1, de la loi sur la pro­tec­tion des données.

La CPD n’a­bor­de tou­te­fois pas la que­sti­on de savoir si, pour­quoi et dans quel­les cir­con­stances une pro­cé­du­re de dou­ble opt-in est obli­ga­toire selon les critères de l’ar­tic­le 32, para­gra­phe 1, du RGPD. Elle ne pré­cise pas non plus si une pro­cé­du­re de dou­ble opt-in est éga­le­ment néces­saire dans ce cas,

  • si, con­trai­re­ment à ce qui se pas­se ici, aucu­ne publi­ci­té n’est envoy­ée sans con­fir­ma­ti­on de l’in­scrip­ti­on, mais qu’un seul ser­vice peut être uti­li­sé ; et
  • lorsque l’en­re­gi­stre­ment n’est pas con­sidé­ré com­me un con­sen­te­ment, mais qu’il est néces­saire, par exemp­le, dans le cad­re d’un cont­rat au sens de l’ar­tic­le 6, para­gra­phe 1, point b), du RGPD, par exemp­le lors d’un achat en ligne.

Voir aus­si le Con­tri­bu­ti­on de Car­lo Piltz sur la décision.