Cet article est le deuxième d’une série aux titres volontairement polémiques, dans le but évidemment d’attirer votre curiosité de manière tout à fait subtile. Il constitue également le pendant “critique” d’une précédente analyse de Mathias sur la notion de consentement dans les différentes couches de réglementations protectrices de la vie privée, et enfin la transcription à peu près fidèle de propos conclusifs tenus à l’occasion d’un colloque organisé le 2 avril 2019 par le Master 2 PIDAN de l’Université Versailles Saint-Quentin.
Maintenant que vous savez tout, nous pouvons démarrer.
Cela n’aura échappé à personne : la notion de consentement individuel est centrale en matière de protection des données à caractère personnel et de la vie privée (deux notions qui ne se superposent d’ailleurs, en vérité, qu’imparfaitement). Il n’est pas question ici que du Règlement Général sur la Protection des Données (GDPR) : la directive antérieure 95/46/CE prévoyait de fait, peu ou prou, la même liste de six bases légales alternatives, et l’article 7 de la loi Informatique & Libertés, dont la rédaction subsiste encore aujourd’hui, y avait donné au consentement une place de choix, en l’érigeant (au prix d’une reconfiguration du texte de la directive) comme un principe dont les autres bases seraient autant d’exceptions. C’est ce même modèle principe-exception qui gouverne aujourd’hui également la question des cookies, ainsi que celle de la prospection directe par courrier électronique et SMS, par exemple, au visa de la directive dite e-Privacy. Quitte à pousser l’inventaire, on pourrait encore citer les dispositions pénales incriminant les atteintes à la vie privée, pour lesquelles l’absence de consentement est un élément constitutif systématique.
Aussi, pour revenir au GDPR, la réaction médiatique à l’approche du 25 mai 2018 aura été tout à fait significative : bien qu’infondée juridiquement, la crainte selon laquelle “désormais, tous les traitements de données à caractère personnel devront avoir reçu le consentement des intéressés” en dit long sur la manière dont la réglementation est perçue et comprise au quotidien (et peut-être aussi, du même coup, sur la manière dont elle est présentée) ; la frénésie de l’emailing qui s’en est suivi, à grands coups de demandes d’acceptation de privacy policies (demandes ni nécessaires ni utiles), en est une illustration frappante. De même, dans une mesure moins spectaculaire, il est tout aussi vrai que le praticien (et l’on inclut sous ce vocable toute personne dont l’activité implique de réfléchir concrètement à la gestion de traitements de données à caractère personnel) se heurte toujours à cette question souvent première : ai-je besoin du consentement pour ce traitement ?
Cette “fondamentalisation” du consentement (que les autorités de contrôle, du moins la CNIL, s’efforcent heureusement d’endiguer, en rappelant publiquement l’existence d’autres bases légales) mérite d’être interrogée, dans ses tenants comme dans ses aboutissants.
L’idée que le consentement de l’individu doit gouverner les usages qui sont faits de ses données personnelles jette ses racines, à l’évidence, dans le paradigme du libéralisme politique, majoritaire en Europe depuis le mouvement des Lumières et la fameuse “révolution copernicienne” de Kant. En plaçant le sujet individuel au centre du processus de connaissance, cette révolution a permis, si ce n’est rendu inévitable, le saut vers un nouveau principe éthico-politique, dont le retentissement se fait entendre jusqu’à aujourd’hui, et que l’on peut s’efforcer de résumer comme suit : ce qui est bon et acceptable pour lui-même, l’individu le reconnaît et en décide par lui-même.
On perçoit facilement, bien sûr, comment ce principe a pu guider et justifier, jusqu’à de nos jours encore, et aux quatre coins du monde, toute revendication sociale en faveur, par exemple, d’élections libres, et plus généralement d’une véritable consécration des libertés individuelles ; notre propos n’est donc aucunement d’en remettre en cause ni la pertinence, ni l’importance politiques.
D’un point de vue cognitif, en revanche, sa prémisse paraît plus problématique. Quitte à grossir le trait ici encore, on peut relever en effet que ce principe (celui du libéralisme politique) ne tient que pour autant que l’affirmation suivante est vérifiée : placé(e) dans des conditions d’information suffisantes, l’individu saura reconnaître et prendre la meilleure décision pour lui-même. On reconnaît là au passage une sorte d’axiome essentiel de la théorie économique classique, qui schématise l’être humain en acteur et décideur parfaitement rationnel, à tout le moins pour jeter les bases de l’analyse (axiome d’ailleurs largement nuancé depuis par ladite théorie économique).
Cette pré-condition n’est évidemment pas étrangère au domaine qui nous intéresse ; on en retrouve la trace dans les critères de définition du consentement, sous l’article 4.11 du GDPR, selon lequel ce dernier doit être une manifestation de volonté éclairée. Ainsi le lien est-il directement formé entre, d’une part, le consentement de l’individu à ce qui le concerne, et, d’autre part, l’information dont il dispose : la validité du consentement (cela n’a rien d’un scoop) est intimement liée au respect du principe de transparence posé par l’article 12. Pour le dire concrètement, et avec la force du truisme : je ne peux valablement consentir que pour autant que je sais à quoi je consens.
De la pertinence même du consentement dans l’univers numérique : les arguments d’une contestation radicale
C’est là, selon nous, que le bât blesse.
Bien difficile en effet, vu l’état actuel des pratiques, d’affirmer de parfaitement bonne foi que nous serions, dans chacun de nos actes de consentement (l’auteur de ces lignes le premier) de véritables acteurs éclairés.
Les exemples ne manquent pas ; le plus flagrant est sans doute celui des cookies, dont l’encadrement par le consentement de l’utilisateur a toujours été, il faut bien l’admettre, quelque peu bancal. Ainsi de la doctrine dite de la poursuite de la navigation, étonnamment consacrée par la CNIL elle-même, qui admet de lire dans le simple scrolling (fût-il, de fait, involontaire) une acceptation tacite de l’utilisateur au dépôt des cookies ; confrontée aux exigences de validité nouvelles du consentement, de même qu’au principe de privacy by default, il y a fort à penser que cette doctrine n’est plus vouée à faire long feu. On peut toutefois aller plus loin encore, sur le même sujet : qu’en est-il de la valeur d’un consentement exprimé, par exemple, sur un site de presse en ligne, lorsque ce clic est nécessaire pour faire disparaître le cookie wall qui obstrue la vue de l’article auquel nous souhaitons accéder, lorsque la durée nécessaire pour consulter les explications fournies, puis pour activer ou désactiver chaque catégorie de cookies une par une, est en vérité le double ou le triple de celle nécessaire pour la lecture de l’article qui nous intéresse ? En matière de conformité, un zèle excessif peut ainsi s’avérer des plus contre-productifs, et pour le responsable du traitement (qui verra des utilisateurs se détourner de son site par lassitude) et pour l’utilisateur lui-même (qui finit par accepter sans réfléchir, ici encore par lassitude), le tout finissant par desservir l’intérêt de la réglementation elle-même.
Ce n’est pas que ces phénomènes soient restés inconnus des autorités de contrôle, ni du législateur : feu le Groupe de travail de l’Article 29, dont les conclusions à cet égard ont été reprises par le Comité Européen de la Protection des Données (CEPD), soulignait lui-même le risque de “consent fatigue” dans ses lignes directrices sur la notion de consentement ; plus remarquable encore, dans d’autres lignes directrices relatives cette fois au principe de transparence, le même G29 citait un article cosigné par Lilian Edwards (au titre évocateur : “Slave to the Algorithm? Why a ‘Right to an Explanation’ is probably not the remedy you are looking for“), universitaire britannique connue pour ses positions pessimistes à l’égard de la possibilité même d’obtenir un consentement valable dans l’univers numérique actuel (informed consent fallacy). Enfin, sur le cas particulier des cookies, le mémorandum explicatif du projet de règlement e-Privacy relève explicitement les limites de l’application de la règle du consentement :
“En termes d’efficacité et d’efficience, il est ressorti de l’évaluation REFIT que la directive n’a pas complètement atteint ses objectifs. […] L’évaluation a aussi montré que des dispositions avaient fait peser une charge inutile sur les entreprises et les particuliers. Par exemple, la règle du consentement pour préserver la confidentialité des équipements terminaux n’a pas permis d’atteindre les objectifs poursuivis car l’utilisateur final se voit demander d’accepter des témoins («cookies») traceurs sans savoir ce que c’est et, dans certains cas, s’expose même à ce que des cookies soient installés sans son consentement. Cette règle est à la fois trop inclusive, car elle couvre aussi des pratiques ne portant pas atteinte à la vie privée, et trop exclusive, car elle ne couvre pas expressément certaines techniques de suivi (p. ex. capture d’empreintes numériques) ne consistant pas nécessairement à accéder à des données ou à en stocker dans le dispositif. Enfin, son application peut être coûteuse pour les entreprises.”
Que faut-il donc en conclure ? A tout le moins, que les autorités et le législateur eux-mêmes sont acquis à l’idée qu’une sur-sollicitation des utilisateurs risque d’engendrer bon nombre de “faux consentements”.
Or, cette sur-sollicitation est aujourd’hui bel et bien le lot commun de tout utilisateur moyen (moyennement “connecté”), et en particulier (ironie du sort) depuis l’entrée en application du GDPR.
Dès lors, de deux choses l’une : ou bien nous sommes capables d’imaginer de nouvelles “bonnes pratiques” pour corriger les effets de cette sur-sollicitation, et ainsi rendre du sens au consentement de l’utilisateur, ou bien il nous faut renoncer à la notion même de consentement pour ces situations problématiques.
La seconde “option”, bien que minoritaire et aux antipodes du droit positif, n’a rien d’une fantaisie. Elle fait l’objet de plusieurs travaux académiques au long cours, qui s’efforcent de proposer des paradigmes alternatifs au consentement en vue d’assurer une protection plus effective de la vie privée. Outre ceux de Lilian Edwards, qui s’appuient notamment sur d’autres mécanismes internes à la réglementation pour pallier les insuffisances du consentement, on mentionnera les réflexions d’Helen Nissembaum, centrées sur la notion de légitimation des flux de données, à une échelle sociétale plus qu’individuelle.
Ces propositions méritent selon nous, si ce n’est d’être embrassées sans réserve, du moins d’être prises au sérieux, pour deux séries de raisons.
La première tient aux limites “intrinsèques” du consentement en matière de protection de la vie privée, et plus généralement d’ailleurs aux limites de ce qu’on peut appeler les mécanismes de contrôle “subjectifs”, c’est-à-dire les mécanismes de régulation des traitements de données à caractère personnel dont l’activation dépend des personnes concernées (en résumé : le consentement et les droits prévus par la réglementation) – par opposition aux mécanismes de contrôle “objectifs”, qui seraient représentés par les exigences affectant l’organisation et la mise en œuvre des traitements antérieurement à, et indépendamment de, toute action des personnes concernées (limitation des durées de conservation, sécurisation des bases de données, etc.).
Les études statistiques confirment à cet égard une intuition globalement partagée : en dépit d’une “conscientisation” renforcée notamment par l’emballement médiatique autour du GDPR, les utilisateurs sont (très) peu nombreux à agir concrètement et mettre en œuvre les outils accessibles pour limiter ou remettre en cause la collecte et le partage de leurs données. Une part de cet échec relatif de l’empowerment poursuivi par le nouveau règlement s’explique certes probablement par la présentation fastidieuse et peu conviviale de certains de ces outils, lorsque les responsables de traitements concernés n’ont pas réellement investi leurs meilleurs efforts dans le principe de transparence (nous y reviendrons) ; néanmoins, il faut sans doute voir là aussi la conséquence d’un défaut structurel de la volonté individuelle, qui tient à l’ambivalence de notre rapport à la vie privée, en particulier dans l’univers numérique.
C’est que nous nous représentons peu, ou mal, les enjeux et les risques liés à la divulgation ou à la fuite de nos données à caractère personnel, qui restent par nature très abstraits (par opposition, par exemple, aux risques immédiatement perceptibles d’un dommage corporel, qui nous font regarder de chaque côté de la route avant de traverser) ; aussi ces enjeux et ces risques sont-ils de manière générale sous-évalués, et facilement omis dans le calcul inconscient, intuitif, qui préside à nos décisions quotidiennes. Face, disons, à l’utilité immédiate d’accéder à un service en ligne ou de consulter rapidement un article de presse, ces craintes bien réelles mais très abstraites ne suffisent pas, de fait, à justifier de consacrer un temps long à (véritablement) comprendre et interagir avec les paramètres de confidentialité ; la protection des données à caractère personnel évolue donc ainsi sur une “ligne de crête cognitive”, entre d’une part des revendications d’un haut niveau de fluidité et de personnalisation des services (“je veux retrouver à tout moment mes séries préférées“) et d’autre part des inquiétudes peu articulées à l’égard de potentielles atteintes à la vie privée. Cette “schizophrénie” de l’utilisateur, mise en lumière par différentes études (et que nous avons à l’évidence tous en partage, à l’exception peut-être de ceux qu’il serait de bon ton d’appeler les “incorruptibles”, tels qu’un Max Schrems) représente, à notre sens, un donné relativement inextricable, et en tout cas un obstacle difficilement contournable à l’approche par le consentement.
Faire ce constat revient à admettre que nous ne sommes pas, au moins dans certains cas, les meilleurs gardiens de notre propre vie privée. Il y a lieu d’anticiper à ce stade un contre-argument (contre-argument politique, puisque c’est bien sûr de politique qu’il s’agit) souvent invoqué dans ce type de débats, à savoir que cette affirmation (“nous ne sommes pas nous-mêmes les meilleurs gardiens de notre propre vie privée“) décèlerait nécessairement un paternalisme d’un autre âge (“l’Etat sait mieux que le citoyen ce qui est bon pour lui“).
Ce contre-argument est notamment typique des discussions récentes sur la patrimonialisation des données à caractère personnel. Il est selon nous fallacieux, en ce qu’il feint de ne laisser place à aucune mesure intermédiaire entre, d’une part, l’absence totale de mécanisme de régulation autre que la pure volonté individuelle, et d’autre part l’économie dirigée façon ex-bloc soviétique. Force est de constater, pourtant, que l’ordre juridique français et unioniste actuel (qu’on ne peut raisonnablement soupçonner de tomber dans aucun de ces deux écueils absolus) prévoit déjà un certain nombre de cas où la volonté individuelle est rendue inopérante, dans l’objectif précisément de protéger les intérêts de la personne concernée : ainsi du droit de la consommation, qui répute certaines clauses abusives de façon irréfragable, signifiant par là même qu’il est impossible d’y consentir valablement ; ainsi encore de la prohibition du commerce des produits du corps humain ; ainsi enfin du GDPR lui-même, qui évoque incidemment les hypothèses où l’interdiction d’un traitement de données sensibles “ne peut pas être levée par la personne concernée” (article 9.2.a). Dans chacun de ces cas, il s’agit d’évincer la possibilité d’un consentement valable à l’égard de clauses ou pratiques pour lesquels ce consentement paraîtrait par principe douteux, que ce soit en raison d’un rapport de force économique défavorable (droit de la consommation) ou pour éviter des formes extrêmes de paupérisation (commerce des produits du corps humain) ; il s’agit donc, ni plus ni moins, de mécanismes correctifs visant à protéger certaines valeurs supérieures qui ne semblent pas sacrifiables ni même commensurables à la somme des intérêts individuels, tels que l’égalité, la solidarité ou la dignité humaine.
Ce point fait justement le lien avec la seconde des deux séries de raisons annoncées, laquelle tient aux limites cette fois “extrinsèques” du paradigme du consentement, qui sont en fait les limites d’une approche essentiellement fondée sur la figure de la “personne concernée” au sens du GDPR, autrement dit un individu personne physique.
C’est-à-dire que la protection de la vie privée et des données à caractère personnel n’est pas uniquement (d’aucuns diraient même principalement), contrairement à ce que dénote son libellé, une pure affaire d’intérêt et de volonté individuels.
La confiance des citoyens et des consommateurs dans le respect de leur vie privée est en effet une condition de possibilité essentielle de la vie en société sous l’égide d’institutions étatiques, de même que du développement d’une économie de marché fonctionnelle.
Des études quantitatives confirment ainsi que le nombre de transactions sur un site Internet diminue lorsque les acheteurs perdent confiance dans le respect de leur vie privée par le commerçant, laquelle perte de confiance peut avoir pour origine un manquement non pas du commerçant lui-même, mais par exemple d’un autre acteur du même secteur, la défiance ayant tendance à “contaminer” l’ensemble du secteur. Dès lors, la capacité de la règlementation à générer un cadre sécurisant du point de vue des consommateurs apparaît déterminante pour l’ensemble de la vie économique, en particulier dans l’univers numérique ; le GDPR lui-même, qui s’inscrit (rappelons-le) dans le paquet unioniste du Digital Single Market, ne dit pas autre chose (considérant n°7) :
“Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur.”
Dans le même ordre d’idées, d’autres études relèvent que les règlementations fondées sur le consentement ont pour effet de favoriser les entreprises établies, proposant un éventail varié de services, au détriment de nouveaux entrants ayant une offre plus spécialisée ; les implications de ce constat en termes de concurrence et d’intérêt des consommateurs sont évidentes.
Enfin, nous partageons l’analyse, citée dans l’une de nos précédentes newsletters, selon laquelle le respect de la vie privée profite directement à l’innovation, que ce soit en matière technico-économique ou dans le domaine des mœurs et des valeurs. Comme le décrit l’auteur, l’innovation technique ou sociétale peut naître en effet dans des conditions peu propice à son expression publique, soit que son auteur craigne d’en être dépossédé (innovation technique), soit qu’il craigne des formes de réprobation collective potentiellement violentes (innovation sociétale – ou, pour le dire simplement, évolution des mœurs) ; elle requiert alors pour s’épanouir une première phase de secret, à peine de mourir dans l’œuf. Le rôle de la protection des données à caractère personnel est (aussi) de garantir la possibilité de ce secret, contre toutes les formes de surveillance envisageable – qui ne sont pas exclusivement d’origine étatique, loin s’en faut, comme en témoigne le concept de plus en plus affirmé de surveillance capitalism.
Au total, les raisons sont donc plurielles de penser qu’une règlementation trop centrée sur le consentement (et plus généralement sur les mécanismes de contrôle “subjectifs”) n’est ni anodine, ni forcément optimale pour garantir l’ensemble des valeurs mises en jeu par le respect de la vie privée.
Legal design et revalorisation de l’intérêt légitime : pour une application “honnête” et nuancée du consentement
Faut-il alors en finir entièrement avec le paradigme du consentement ?
A vrai dire, nous ne le pensons pas. Par optimisme, on continuera de penser qu’il est encore possible d’améliorer nos modèles de recueil du consentement, en tenant compte de l’ensemble des limites précitées, de manière à les rendre à la fois plus pertinents et plus “honnêtes”.
Il nous paraîtrait de fait prématuré de conclure à l’impossibilité radicale de tout consentement valable dans l’univers numérique quand, en pratique, il faut bien l’avouer, si peu a déjà été fait pour exploiter toutes les ressources offertes par ce même univers en vue d’y intégrer les dimensions de l’information et du consentement de façon harmonieuse. Pour le dire concrètement, on ne peut que regretter que l’information juridique d’un site ou d’une application se résume en règle générale (y compris pour des plateformes B2C multinationales disposant de moyens importants) à une simple page au format traitement de texte, là où n’importe quel outil de création de site offre aujourd’hui même au néophyte, sans compétence en matière de code, des briques et des plug-in intuitifs pour créer un design “convivial”, user-centric, voire interactif. Comme dans bon nombre de cas, ces mêmes défis que la technique engendre en évoluant (traitements algorithmiques de plus en plus complexes, machine learning), la technique offre des moyens d’y répondre, aujourd’hui insuffisamment explorées.
Il ne s’agit pas ici, évidemment, de pointer du doigt la responsabilité de tel ou tel acteur, mais plutôt d’en appeler à une réelle synergie de plusieurs “corps de métier”, dont chacun dispose d’une spécialité nécessaire (mais non suffisante en elle-même) pour produire une information juridique qualitative et réellement transparente : juristes, designers et développeurs front-end, experts marketing, etc.
Pour l’avocat (parlons de ce que nous connaissons), en particulier l’avocat versé dans les questions de protection des données et de consommation (lesquelles réglementations ont en partage cette exigence cruciale de transparence), c’est en tous cas un impératif incontournable que de consacrer une attention non moins grande à la forme des livrables qu’à leur fond, lorsque ces derniers sont destinés à être lus par tout un chacun, notamment sur un support numérique. Nous pensons évidemment aux outils de legal design, dont le rôle pour une application honnête de ces réglementations complexes ne peut plus être négligé – l’article 12 du GDPR ne fait-il pas lui-même référence à l’usage d'”icônes standardisées“, censées “offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu” ?
Au-delà de cette exigence renouvelée sur la forme, redonner de la valeur au consentement impose aussi, selon nous, paradoxalement, d’en inverser la place dans la hiérarchie (informelle) des bases légales, en cessant de le penser à la fois comme la meilleure garantie de conformité et un gage absolu d’acceptabilité sociale du traitement envisagé (“au pire, il suffit de mettre une case à cocher“).
Il faut au contraire non seulement voir le consentement comme une base exigeante, potentiellement impossible à assurer de manière valide dans certains cas, mais aussi (d’un point de vue cette fois non pas juridique, mais plutôt éthique ou politique – deux dimensions qui ne sauraient demeurer totalement étrangères à une vraie réflexion sur la conformité) reconnaître que demander leur consentement aux personnes concernées n’est pas toujours, paradoxalement, le meilleur moyen de s’assurer du respect de leurs intérêts.
Que l’on se réfère ici, notamment, au libellé complet de l’autre base légale qu’est l’intérêt légitime : on se rappellera que cette dernière est en vérité plus exactement une balance des intérêts, qui impose de prendre en compte de façon objective “les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant“. Nous insistons sur ce caractère objectif, par opposition à la prise en compte “subjective” de ces intérêts, libertés et droits fondamentaux qu’induit l’approche par le consentement : il s’agit là (comme le décrit la méthodologie recommandée par l’ancien G29 pour la mise en oeuvre de cette base légale) tout à la fois d’une évaluation des risques, et d’une réflexion sur la manière de les neutraliser voire de les supprimer, par le biais de “garanties additionnelles” (“additional safeguards“) à imaginer et appliquer au cas par cas.
Or, il n’est pas impossible que, menées sérieusement et de bonne foi, cette évaluation et cette réflexion amènent à identifier et traiter des risques de façon plus précise et adéquate que ne l’aurait permis une simple demande de consentement, a fortiori si elle avait été présentée dans des conditions aussi peu propices à une réponse réfléchie qu’un bandeau cookie à l’abord d’un court article de presse. Là où la personne concernée, dans de telles conditions, réfléchit “à chaud”, voire s’abstient de toute réflexion, tant le contexte s’y prête peu, le responsable du traitement peut disposer quant à lui d’un temps prolongé pour penser le traitement dans le respect des droits et libertés de cette personne – ce que lui impose, rappelons-le, le texte même du GDPR, à défaut de quoi la base légale n’est tout simplement pas vérifiée.
Écartons d’emblée tout procès en excès de candeur : il n’est pas question ici de nier que l’intérêt légitime peut, aussi bien que le consentement, faire l’objet d’applications malheureuses, à la légère, voire d’une parfaite mauvaise foi – pas plus qu’il n’est question de prétendre que le consentement serait boîteux par essence. Il s’agit plus modestement d’affirmer qu’à un consentement douteux, il peut être judicieux de préférer un intérêt légitime bien pesé, “honnête” (à l’opposé, très exactement, de l’intérêt légitime “fourre-tout” souvent décrié). Le cas des cookies nous paraît là encore tout à fait représentatif et symptomatique d’une position de principe (consentement sauf cookies strictement nécessaires aux aspects techniques du service) qui gagnerait à s’ouvrir aux autres mécanismes de légitimation qu’offre une palette élargie des bases légales, incluant l’intérêt légitime ; il en va à notre sens du réalisme, et partant de la crédibilité de la réglementation. Les dernières versions du projet de règlement e-Privacy (dont la dernière version en date du Conseil) semblent aller en ce sens.
Cette réflexion sur l’intérêt légitime n’est évidemment pas déconnectée de la précédente, relative à une véritable application du principe de transparence : rappelons en effet que le G29, dans son avis précité, compte au nombre des “garanties additionnelles” pouvant influer positivement sur la mise en balance des intérêts, les mesures d’information et de transparence “renforcées” (page 51). De même, cette “revalorisation” de l’intérêt légitime ne va pas sans une réflexion sur les mécanismes de contrôle a posteriori que sont les droits des personnes concernées (en particulier le droit d’opposition, qui peut être rendu “inconditionnel” au titre là encore des “garanties additionnelles” citées par le G29 – rétablissant ainsi à l’identique les effets du droit au retrait du consentement, lui aussi inconditionnel) ; ces mesures de contrôle a posteriori présentent en effet l’intérêt non négligeable de s’inscrire dans une temporalité favorable à une réflexion “à froid”, par opposition au consentement sollicité “à chaud”.
Tout ceci, nous n’en doutons pas, soulignons-le encore une fois, dépend largement de la bonne volonté et de l’application rigoureuse de la réglementation par les responsables concernés, mais témoigne du même coup des richesses et des subtilités de cette même réglementation, qui offre bien plus d’une manière de viser la conformité ; il appartient donc à l’ensemble des acteurs concernés par l’application de ces règles, au premier rang desquels les autorités de contrôle et les juridictions, de se saisir de cette richesse casuistique, pour co-construire et valider des solutions imaginatives, crédibles et réalistes.
De fait, certaines de ces autorités semblent avoir relevé le problème et cette nécessité de “faire mieux ensemble”, comme en témoignent deux tribunes tout à fait récentes du Président de l’ICO britannique et du Contrôleur Européen de la Protection des Données. A n’en pas douter, le terrain est vaste ; nous avons à peine commencé de l’arpenter.
Merci pour cet article très intéressant (et bien illustré) !