Le consentement à la déclaration de protection des données constitue une violation du principe de “bonne foi”.

Home » Nouvelles » Le consentement à la déclaration de protection des données constitue une violation du principe de “bonne foi”.

2023-05-31 11:28:18

Comme la Cour suprême d’Autriche l’a déjà décidé, l’obtention du consentement à la validité de la déclaration de protection des données n’est pas recommandée en raison des contrôles (stricts) des conditions générales qui en résultent. En outre, afin d’éviter de violer le principe de “bonne foi”, les commerçants en ligne devraient s’abstenir à l’avenir d’obtenir le consentement ou la “reconnaissance” de la déclaration de protection des données. Dans cet article, nous examinons de plus près ce que le comité européen de la protection des données (EDPB) a décidé dans ce contexte.

Dimension juridique des CG : Pourquoi exiger le consentement à la déclaration de protection des données peut-il être dangereux ?

Si le consentement à la déclaration de protection des données est requis, cela peut entraîner le contrôle légal (strict) de la déclaration de protection des données en vertu des conditions générales.

Cela peut à son tour avoir pour conséquence que certaines informations contenues dans la déclaration de protection des données soient considérées comme des clauses invalides.

En outre, il existe un risque que de telles clauses dans la déclaration de protection des données soient réprimandées comme des violations du droit de la concurrence. La Cour d’appel de Berlin s’était déjà prononcée à ce sujet dans son arrêt du 27 décembre 2018, Az. : 23 U 196/13 : dans l’affaire à l’époque, le consentement du client à l’« accord de protection des données » du fournisseur était requis dans une boutique en ligne lors du processus de commande. La Cour d’appel a jugé qu’une grande partie des dispositions relatives à la protection des données devaient être considérées comme des violations des conditions générales en raison de leur incompatibilité avec les idées de base du RGPD.

La Cour suprême autrichienne (OGH) a récemment décidé (arrêt du 23 novembre 2022, Az. : 7 Ob 112/22d) que Les avis de protection des données sont alors également soumis au contrôle des conditions généralessi la personne concernée accepte l’avis de protection des données tout en n’étant pas “d’accord” doit, mais dans une demande d’assurance doit confirmer qu’il en a “pris connaissance” chapeau.

Selon l’OGH, les déclarations de protection des données sont soumises au contrôle des clauses si elles doivent être considérées comme des dispositions contractuelles. Si elles ont le caractère d’une déclaration contractuelle (volonté d’avoir des conséquences juridiques) et ne servent pas de simple information au sens des articles 13 et suivants du RGPD.

Dans le cas de la Cour suprême, les informations sur la protection des données ne sont pas simplement un document d’information sans conséquences juridiques. Le fait que l’avis de protection des données soit sous une forme et non une partie des conditions générales d’assurance ne va pas à l’encontre de son caractère de déclaration contractuelle, cela dépend plutôt de la conception du contrat.

Dans le cas de la Cour suprême, aucune approbation n’était requise, mais la connaissance des informations relatives à la protection des données était requise. Une telle reconnaissance pourrait implique l’approbation de son contenu, donc le choix des mots ne devrait faire aucune différence ici. Selon l’OGH, les mentions de protection des données utilisées ont fait l’objet d’un contrôle des conditions générales.

Comité européen de la protection des données (EDPB) : L’obtention du consentement est également une violation de la “bonne foi” ?

L’obtention du consentement à une déclaration de protection des données est également inadmissible de l’avis du CEPD et peut également violer le RGPD lui-même si la déclaration consiste simplement à fournir des informations conformément à l’article 13 du RGPD.

Le CEPD a décidé dans sa décision contraignante 5/2022 (Art. 65 RGPD) à partir du 5 décembre 2022.

Cela impliquait une procédure des autorités irlandaises contre WhatsApp Ireland Limited. Le 25 mai 2018, l’asbl « European Center for Digital Rights » a porté plainte. La légalité du traitement des données personnelles effectué par WhatsApp IE a été contestée, en particulier le traitement des données basé sur le consentement aux conditions d’utilisation et la transparence des informations que WhatsApp IE a mises à la disposition des personnes concernées concernant le traitement.

Le principe de bonne foi

L’article 5, paragraphe 1, point a) du RGPD stipule :

“Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente pour la personne concernée (“licéité, traitement loyal, transparence”) ;”

De l’avis du CEPD, les principes d’équité, de légalité et de transparence sont trois principes distincts mais néanmoins inextricablement liés et interdépendants. Ils doivent toujours être pris en compte lors du traitement des données personnelles.

Le principe d’équité a une signification indépendante. Il se pourrait donc bien que, malgré le respect du principe de transparence, le respect du principe d’équité doive être évalué différemment.

Le principe général de traitement équitable sert avant tout à établir un juste équilibre entre les intérêts commerciaux des responsables du traitement et les droits et besoins des personnes concernées.

Par exemple, cela inclut la reconnaissance des attentes légitimes des personnes concernées et la prise en compte des éventuelles conséquences négatives que le traitement peut avoir sur elles. Il tient également compte de la relation et des éventuels effets d’un déséquilibre entre la personne concernée et le responsable du traitement.

Manque de transparence et d’équité dans le choix de la base juridique = manquement à la bonne foi

L’interprétation du CEPD du principe de bonne foi signifie également que le responsable du traitement doit être équitable et transparent lorsqu’il choisit la base juridique appropriée pour le traitement des données et en particulier lorsqu’il informe les personnes concernées de cette base juridique.

Pour évaluer si cela s’est produit, l’impact du choix et de la présentation de la base juridique sur les personnes concernées doit être pris en compte.

Dans le cas de l’EDPB, il a constaté que le consommateur était contraint d’accepter les conditions d’utilisation et la politique de confidentialité. Cependant, cela affecte les attentes légitimes des utilisateurs. Ils ne savent pas s’ils donnent leur consentement au traitement de leurs données personnelles en cliquant sur le bouton “Accepter”.

En outre, le consentement conformément à l’article 6, paragraphe 1, lettre a du RGPD n’est pas la seule base juridique pour le traitement des données. Ainsi, si le consentement a été conçu et obtenu de manière appropriée, les personnes concernées ne pourraient pas être sûres qu’il s’agisse d’un consentement à toutes les opérations de traitement des données.

Selon le CEPD, le responsable du traitement aurait dû clarifier la base juridique du traitement et informer les personnes concernées du lien entre les finalités poursuivies, la base juridique applicable et les activités de traitement correspondantes.

En raison du manque de clarté et de transparence, la personne responsable a violé le principe de bonne foi (équité) conformément à l’article 5, paragraphe 1, a du RGPD violé.

Le traitement n’a pas pu être évalué comme éthique et véridique, étant donné que les personnes concernées auraient dû être informées de manière adéquate et compréhensible de la nature des données traitées, de la base juridique et des finalités du traitement. Dans ce cas, cependant, ce n’était pas le cas.