web-dev-qa-db-fra.com

Pourquoi certains courriers électroniques du RGPD m'obligent-ils à me désinscrire et d'autres à m'inscrire?

J'ai remarqué une tendance dans les e-mails que j'ai reçus à la suite du RGPD, certains d'entre eux sont en quelque sorte des `` opt-out '' (ou pseudo-opt-out où vous avez juste besoin d'arrêter d'utiliser leur service) comme ceci:

Notre politique de confidentialité mise à jour explique vos droits en vertu de cette nouvelle loi et entrera en vigueur le 25 mai 2018. En continuant à utiliser notre site ou notre application après cette date, vous acceptez ces conditions mises à jour.

Ou ils vous demandent de vous inscrire:

Bonjour, il s'agit d'un autre de ces e-mails du Règlement général sur la protection des données ("RGPD") où nous demandons l'autorisation de vous envoyer un e-mail, même si vous êtes en dehors de l'UE.

Nous espérons que vous choisirez de continuer à recevoir de temps en temps un e-mail concernant nos dernières mises à jour.

Qu'est-ce qui différencie les deux demandes? Est-ce qu'ils stockent des données différentes sur moi, ou est-ce plus à voir avec leur service? J'ai vu certaines entreprises qui ne m'envoient que des promotions, etc. (similaire à la deuxième citation ci-dessus), et elles ont un pseudo-opt-out, donc je ne pense pas que ce soit lié au service.

gdpr
100
Pureferret

Il n'est pas certain que le premier type de courrier électronique soit légal. Une association française, la Quadrature du Net , prévoit de lancer un recours collectif contre cinq grandes entreprises technologiques (le fameux "GAFAM") le 28 mai à propos de cette pratique. Voici un résumé de leurs arguments:

  • L'article 6 §1 du RGPD énumère six cas de traitement légal des données personnelles, dont le consentement de l'utilisateur;
  • L'article 4 §11 stipule que le consentement doit être obtenu d'une manière qui montre que c'est la volonté de l'utilisateur d'une manière claire, spécifique, informée et sans équivoque;
  • Dans le préambule du RGPD, il est expliqué que le consentement doit être une action positive, et il ne peut y avoir de consentement en cas de silence, de cases pré-cochées ou d'inaction;
  • L'article 7 §4 stipule que lors de l'obtention du consentement, il est nécessaire d'examiner si le traitement des données personnelles est absolument nécessaire pour fournir un service.

En conséquence, le "G29", le groupe des autorités nationales de protection des données dans l'UE, a affirmé que si un utilisateur n'a pas vraiment le choix, se sent contraint ou fera face à des conséquences négatives s'il refuse son consentement, alors le le consentement donné n'est pas valide. Le G29 a donc affirmé que le RGPD garantit que donner son consentement au traitement des données personnelles ne peut pas être la contrepartie de la prestation de services.

De plus, si une entreprise demande le consentement comme base juridique pour le traitement de données à caractère personnel, il lui est alors interdit d'utiliser les autres bases juridiques de l'article 6 pour justifier son traitement.

(Le raisonnement va plus en détail, si vous pouvez lire le français. Ce que j'ai écrit ci-dessus n'est qu'un résumé.)

Le premier e-mail vous incite donc à accepter quelque chose d'illégal. Si les recours collectifs que j'ai mentionnés ci-dessus réussissent, vous pouvez vous attendre à ce que les petites entreprises emboîtent le pas et cessent d'envoyer des e-mails du premier type (ou encourent de graves conséquences juridiques).

110
N.I.

Quelques citations de la loi GDPR:

[...] Le consentement devrait être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et non ambiguë de l'accord de la personne concernée au traitement des données personnelles la concernant, par exemple par une déclaration écrite, y compris par voie électronique ou par une déclaration orale. Cela pourrait inclure de cocher une case lors de la visite d'un site Internet, de choisir les paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite qui indique clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées dans le même but ou les mêmes buts. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour chacune d'elles. Si le consentement de la personne concernée doit être donné à la suite d'une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie. [...]

[...] Lorsque le traitement est basé sur le consentement conformément à la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme à la conditions du présent règlement [...]

[...] "consentement" de la personne concernée: toute indication librement donnée, spécifique, informée et non ambiguë des souhaits de la personne concernée par laquelle elle ou lui, par une déclaration ou par une action positive claire, signifie son accord pour le traitement de les données personnelles le concernant; [...]

[...] Pour apprécier si le consentement est donné librement, il est tenu compte le plus souvent de la question de savoir si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaires à l'exécution de ce contrat. [...]

Le RGPD nécessite un consentement explicite. Si un service a collecté des données personnelles et que vous n'y avez pas donné son consentement explicite, il doit alors demander à nouveau votre consentement de manière explicite. Je crois qu'en théorie, un service doit également demander à nouveau un consentement explicite à chaque fois qu'il modifie sa politique de confidentialité, même si je ne trouve aucune déclaration à ce sujet. Je pense donc que votre exemple de "pseudo-opt-out opt-out" n'est en aucun cas légal, même si vous aviez précédemment donné explicitement votre consentement d'une manière conforme au RGPD (et j'en doute), car ils changent maintenant leur politique de confidentialité et vous demandant de l'accepter implicitement en continuant simplement à utiliser leur service.

19
reed

La 1ère catégorie sont les grandes entreprises (comme les grands fournisseurs de messagerie) qui feront de toute façon ce qu'elles veulent et puisque vous souhaitez utiliser leur service, vous aurez accepté leurs conditions. Ne pas le faire vous empêchera d'utiliser leurs services.

La 2ème catégorie sont les plus justes qui vous demandent si vous souhaitez ou non recevoir de leur part des informations. Habituellement, ce sont des sociétés commerciales et le fait de refuser de recevoir leurs offres ne vous empêchera pas de faire affaire avec elles.

11
Overmind

Premièrement, il n'y a pas encore de jurisprudence et différents avocats interprètent les règles de différentes manières: certains jouent très prudemment, d'autres naviguent plus près du vent. Certains estiment probablement qu'il est peu probable qu'ils figurent en tête de liste des personnes qui méritent d'être poursuivies. (Avouons-le, personne ne va poursuivre un club de sport pour avoir noté qui a réparé la tondeuse en dernier).

Deuxièmement, le consentement n'est qu'une des façons dont la conservation des données peut être autorisée. D'autres incluent l'existence d'un contrat, la nécessité de se conformer aux lois et règlements et les "intérêts légitimes" (ce qui est très ouvert à l'interprétation: mais par exemple, une compagnie d'assurance peut conserver l'historique de vos réclamations afin qu'elle puisse détecter un modèle de réclamations frauduleuses).

Troisièmement, contrairement aux apparences, les consentements existants n'ont pas besoin d'être renouvelés pour le RGPD; si vous y avez consenti l'année dernière, c'est (probablement!) assez bien.

IANAL - J'ai cependant lu le règlement.

10
Michael Kay

Comme d'autres réponses l'ont indiqué, le RGPD requiert un consentement explicite, éclairé et sans ambiguïté. De plus, conformément au principe de responsabilité, les responsables du traitement des données doivent pouvoir le prouver. En théorie:

  1. Les organisations qui envoient des e-mails de désinscription avaient déjà votre consentement explicite correctement enregistré (par exemple lorsque vous vous êtes abonné à une newsletter ou avez signé un contrat), et peut-être mettent-elles à jour leurs politiques de confidentialité pour mieux s'aligner sur le RGPD, et donc elles vous envoyer un e-mail, et ils en profitent pour vous rappeler que vous pouvez toujours vous désinscrire.
  2. Les organisations qui envoient des e-mails opt-in n'ont pas enregistré le consentement approprié, et elles se précipitent pour que votre consentement soit enregistré et stocké dans leurs tout nouveaux outils de gestion du RGPD.

En pratique:

  1. Certaines organisations qui envoient des e-mails de désabonnement marchent peut-être sur de la glace mince, et elles sont convaincues que leurs consentements à l'ancienne seront reconnus par les autorités, en ce qui concerne cela.
  2. Certaines organisations qui envoient des e-mails opt-in étaient déjà en dehors de la loi (en ce qui concerne la directive précédente et les lois des États membres), mais elles regrettent maintenant car elles ont peur des amendes.

Ou, cela dépend de l'avocat que chacun d'eux a engagé.

6
ysmartin

En plus des domaines déjà mentionnés ici, il y a une section du RGPD relative à la conservation des données. Un grand nombre des e-mails qui demandent aux gens (ou du moins ceux que je reçois) de s'inscrire indiquent également qu'ils n'ont eu aucune interaction avec (ou plutôt, de) moi depuis quelques années, et donc si je souhaite continuer à recevoir leurs e-mails, il est nécessaire de les réactiver. Cela leur permet de savoir que leurs données sont à jour et que tout le reste peut être supprimé.

Alors que la loi britannique sur la protection des données stipule déjà que les données ne peuvent pas être conservées plus longtemps que nécessaire, elles ont été largement ignorées et les listes de diffusion ont continué de s'allonger. Cependant, le RGPD exige que les données soient supprimées après un délai raisonnable. Si vous vous inscrivez, vous réinitialisez l'horloge sur la pertinence de leurs données.

5
gabe3886

Il y a 2 choses en jeu ici:

  • chaque fois que l'ancien consentement est toujours valide, car il a été demandé d'une manière qui était déjà conforme à cette loi entrante (qui donne une impression de retrait, mais c'est simplement la continuation de votre ancien consentement) par rapport à l'ancien consentement était trouvé insuffisant ou nul, vous devez donc le renouveler, par exemple. parce que la case à cocher a été cochée par défaut (c'était en fait une option de retrait à l'époque, elle doit donc être remplacée par une toute nouvelle option).
  • chaque fois que l'entreprise souhaite que les choses continuent comme elles l'étaient (encore une fois, l'ancien opt-in qui ressemble maintenant à un opt-out) ou utilise-t-il la possibilité de vous demander plus d'autorisations qu'elles n'en avaient déjà (opt-in pour quelque chose de complètement nouveau , comme les e-mails).

Il semble que vous ayez affaire au premier cas ici. La première entreprise a simplement mis à jour ses politiques et a jugé que les anciens consentements étaient assez bons tandis que la seconde a considéré que votre ancien consentement était nul en vertu de la nouvelle loi et vous demande de consentir à nouveau.

Le RGPD n'est pas nouveau, ici où j'habite, il avait 2 ans de vacatio legis, donc en théorie des sites pourraient être préparés depuis au moins 2 ans. Il est parfaitement imaginable que certains consentements soient déjà conformes (en réalité, personne ne s'en souciait jusqu'à l'entrée en vigueur du projet de loi).

À propos du cas numéro 2, il y a un exemple sur https://gdprhallofshame.com/ où le zoom essaie de faire exactement cela.

2
Agent_L