EDSA : lignes direc­tri­ces par­ti­el­le­ment révi­sées sur le consentement

Le Comi­té euro­pé­en de pro­tec­tion des don­nées (EDSA) a publié des lignes direc­tri­ces révi­sées sur le con­sen­te­ment (Gui­de­lines 05/2020 on con­sent under Regu­la­ti­on 2016/679, ver­si­on 1.0, 4 mai 2020). Il s’a­git d’u­ne ver­si­on légè­re­ment révi­sée des Gui­de­lines on con­sent under Regu­la­ti­on 2016/679 du grou­pe de tra­vail “Artic­le 29” (WP259.01; à ce sujet ici). Out­re des modi­fi­ca­ti­ons réd­ac­tion­nel­les, deux thè­mes sont nouveaux :

  • L’ef­fi­ca­ci­té du con­sen­te­ment dans le cas des “coo­kie walls” ;
  • Exemp­le 16 con­cer­nant le scrol­ling et le consentement

L’AESD fait obser­ver ce qui suit à ce sujet :

  • Si l’ac­cès à une pre­sta­ti­on est lié à un con­sen­te­ment, il ne suf­fit pas qu’u­ne pre­sta­ti­on équi­va­len­te soit dis­po­ni­ble sur le mar­ché sans con­sen­te­ment. Seul l’ac­cès à la pre­sta­ti­on con­crè­te en que­sti­on du responsable con­cer­né est évalué.
  • Dans le cas des coo­kies walls – c’est-à-dire le con­sen­te­ment au track­ing com­me con­di­ti­on d’ac­cès à un ser­vice en ligne – le carac­tère volon­tai­re fait défaut :

    Afin que le con­sen­te­ment soit libre­ment don­né, l’ac­cès aux ser­vices et aux fonc­tion­na­li­tés ne doit pas être con­di­ti­onné par le con­sen­te­ment d’un uti­li­sa­teur à l’en­re­gi­stre­ment d’in­for­ma­ti­ons, ou à la récup­é­ra­ti­on de l’ac­cès à des infor­ma­ti­ons déjà enre­gi­strées, dans l’é­qui­pe­ment ter­mi­nal d’un uti­li­sa­teur (ce que l’on appel­le les “murs de cookies”).

  • Le fait qu’un uti­li­sa­teur uti­li­se un site web, par exemp­le en le faisant défi­ler, ne con­sti­tue pas une décla­ra­ti­on de con­sen­te­ment valable :

    Basé sur le réci­tal 32, les actions tel­les que le défi­le­ment ou le bala­ya­ge d’u­ne page web ou tou­te aut­re acti­vi­té simi­lai­re de l’uti­li­sa­teur ne satis­fe­ront en aucun cas à l’e­xi­gence d’u­ne action clai­re et affir­ma­ti­veDe tel­les actions peu­vent être dif­fi­ci­les à distin­guer d’u­ne aut­re acti­vi­té ou inter­ac­tion d’un uti­li­sa­teur et il ne sera donc pas pos­si­ble de déter­mi­ner si un con­sen­te­ment non ambi­gu a été obte­nu. En out­re, dans un tel cas, il sera dif­fi­ci­le de four­nir à l’uti­li­sa­teur un moy­en de reti­rer son con­sen­te­ment d’u­ne maniè­re qui soit aus­si simp­le que de l’accorder.