Pour les entreprises, se voir imposer des règles contraignantes, telles que le Règlement général pour la protection des données (RGPD), par des autorités qui ne l’applique pas est rageant. A l’approche de l’entrée en application du RGPD le 25 mai 2018, il nous a donc semblé intéressant de faire le test avec le site de la Commission européenne, surprise, surprise…
Le consentement obtenu grâce à une case à cocher
Si l’on se rend sur une page du site de la Commission européenne permettant de poser une question écrite (voir ici), on observe que le consentement au traitement de nos données personnelles s’obtient simplement en cochant une case. Ladite case est accompagnée de la mention “J’ai lu et j’accepte les conditions relatives à la protection des données“.
Cette simplicité, que nous avions déjà évoquée dans cet article, nous montre que les entreprises devraient pouvoir reprendre ce formalisme basique pour se conformer au RGPD. Toutefois, il ne faut pas oublier qu’un renvoi doit être fait vers une liste d’informations devant être délivrées à l’individu dont les données personnelles sont recueillies dans le cadre du RGPD, ce que la Commission européenne semble faire.
La Commission européenne oublie trois éléments du RGPD
Lorsque des données personnelles sont recueillies directement auprès d’un individu, c’est l’article 13 du RGPD qui tend à s’appliquer : il dresse la liste des informations que le responsable du traitement doit fournir.
La page d’informations proposée par la Commission européenne est très complète et propose bon nombre d’éléments qui nous font penser que tout est bien conforme au Règlement général. Pourtant, à y regarder de plus près, certains détails manquent.
1- Pas de délégué à la protection des données : la Commission européenne n’a pas encore nommé de délégué à la protection des données. L’article 37 du RGPD indique que toute autorité publique ou organisme public qui effectue un traitement de données personnelles doit en désigner un.
2- Pas de base juridique du traitement : la page d’informations ne délivre aucun renseignement sur la base juridique sur laquelle est fondée le traitement des données personnelles des individus. En l’occurrence, il devrait s’agir du consentement.
3- Certains droits sur les données manquent à l’appel : si la Commission européenne précise bien que l’individu dispose d’un droit de rectification et de suppression de ses données personnelles, il manque trois autres droits censés être prévus dans le cadre du RGPD. Ce sont les droits à la limitation du traitement, à l’opposition au traitement, à la portabilité des données, au retrait du consentement.
On reste surpris que la conformité de la Commission européenne au RGPD ne soit pas encore complète car cela fait deux ans que le Règlement est voté. Il aurait été logique que l’autorité européenne montre l’exemple en se conformant en amont aux nouvelles règles contraignantes. Il n’en est rien et, moins de deux mois avant l’entrée en vigueur du Règlement, des adaptations sont encore nécessaires.
