Question:
Demander aux utilisateurs de renoncer à la conformité au RGPD est-il un moyen légal d'échapper aux exigences de traitement des données du RGPD?
Michal
2020-01-06 18:22:01 UTC
view on stackexchange narkive permalink

J'ai récemment rencontré cette partie d'une application d'une entreprise américaine bien connue:

enter image description here

Est-ce une manière légale de gérer certains des obstacles techniques introduits par le RGPD? S'agit-il d'une interprétation «flexible» de la loi ou est-ce carrément illégal?

Pour donner une vue d'ensemble - on m'a demandé où je vis et sur cette base, on m'a présenté cette feuille de consentement. Si je ne coche pas la case, je ne peux plus aller plus loin - je dois donner mon consentement si je veux utiliser l'application.

J'étais d'accord pour donner ce consentement, mais cela signifie-t-il que je perds aussi mes droits associés au RGPD? Le droit de télécharger mes données, le droit d'être oublié, etc.?

Je ne suis pas intéressé à faire honte à l'entreprise, mais je suis intéressé à savoir si l'approche - "Je vais demander si ils acceptent de perdre ces droits pour que je puisse faire ce que je veux " - est une manière correcte de gérer la loi. Je n'ai pas supposé que le RGPD était «facultatif». Cela va à l'encontre de l'objectif de l'avoir si les entreprises peuvent mettre cela en petits caractères ou pire - interdire à quiconque d'utiliser leur logiciel à moins qu'ils ne leur donnent leurs données privées sans aucune condition.

J'ai vu et lu une question connexe ici, mais dans ma situation, je suis en fait incapable de faire quoi que ce soit à moins d’accepter les conditions.

Cela ne semble rien dire sur leur conformité au RGPD, ou son absence. Demander si vous consentez à ce que vos données soient traitées en dehors de l'UE est orthogonal pour qu'elles soient soumises au RGPD en vertu du fait qu'elles servent un citoyen de l'UE.
Bien que les protections GDPR ne puissent pas être levées, comme l'indiquent les réponses, il est raisonnable pour une entreprise d'interdire à quiconque d'utiliser son logiciel si l'utilisateur ne donne pas son consentement à une utilisation requise de ses données (tant que les données utilisent et la demande sont légales). L'entreprise a le droit de ne pas fournir de service à quiconque de son choix, tant que ce n'est pas pour une raison illégale. En fait, il est tout à fait normal et, en fait, nécessaire pour une entreprise de refuser de fournir un service à moins qu'elle n'ait votre consentement pour utiliser vos données. Exiger des entreprises qu'elles obtiennent explicitement ce consentement était l'une des actions du RGPD.
@Makyen: Ce n'est pas si simple. Le RGPD exige absolument que le consentement soit donné librement, et il semble que le refus du service signifie que le consentement n'est plus donné librement. Vous avez raison de dire que l'entreprise a le droit de faire affaire avec qui elle veut, mais uniquement dans le cadre de la loi, y compris le RGPD.
Les cases à cocher ont-elles été automatiquement cochées? Parce que même cela est un peu discutable du point de vue du RGPD (le consentement doit être `` opt-in '' et non `` opt-out '')
@DaveMongoose ils n'étaient ** pas ** pré-cochés. J'ai vu une telle pratique ailleurs, mais ce n'était pas le cas.
@MSalters Je pense que vous avez une vision faussée de ce que signifie * librement donné *. L'entreprise ne vous doit aucun service. S'ils étaient légalement mandatés pour vous fournir des services, il pourrait y avoir un argument selon lequel le consentement n'a pas été donné librement. L'entreprise établissant clairement qu'elle ne commencera pas à fournir des services à moins que vous ne consentiez à son utilisation de vos données fait partie d'une relation contractuelle typique. Le RGPD * ne vous donne * pas * le droit * de * les * forcer * à vous fournir des services, ce que vous soutenez effectivement.
@Makyen Je vois votre argument avec le droit de forcer un service, mais qu'en est-il de l'inverse - * droit de fournir un service *? Sûrement, s'ils ne sont pas capables de se conformer aux lois, ils ne devraient pas vraiment fournir le service dans la région donnée (dans ce cas, l'UE). Non?
@Makyen: Voir aussi la réponse de Peteris. Le problème avec votre logique est que le RGPD impose à l'entreprise de montrer son consentement librement donné. Cela signifie qu'un utilisateur insatisfait peut déposer une plainte contre votre entreprise selon laquelle vous avez traité illégalement ses données, et vous ne pourrez pas vous défendre contre cette réclamation.
@MSalters: _ "et vous ne pourrez pas vous défendre contre cette réclamation" _ Mais c'est ** exactement ** pourquoi le consentement est demandé - pour empêcher une réclamation selon laquelle l'utilisateur n'a jamais accepté les événements qu'il héberge actuellement une plainte concernant. Quiconque utilise le service doit avoir consenti à ce que le service implique. C'est à dessein spécifiquement pour se défendre contre de telles réclamations.
@MSalters Il semble que nous nous parlions. Votre commentaire précédent semble ignorer que j'ai dit qu'ils peuvent refuser le service si le client potentiel «ne donne pas son consentement à une utilisation * obligatoire * de ses données». Le fait d'ignorer que j'ai qualifié le consentement comme une utilisation * requise * semble avoir conduit à ce que cela se passe sur une tangente. Il semble également y avoir confusion quant à savoir si nous parlons de ce cas précis ou de généralités. En ce qui concerne ce cas spécifique, l'entreprise semble ne pas être en conformité avec le RGPD de plusieurs manières, et * probablement * ne l'est pas de manière supplémentaire.
@Michal Oui, la chose intelligente / correcte à faire s'ils ne peuvent pas être, ou choisissent de ne pas être, conformes au RGPD est de ne pas fournir le service dans une zone / à toute personne où ils auraient besoin d'être en conformité avec le RGPD. Malheureusement, il est assez courant pour les personnes / entreprises de ne pas faire ce qui est intelligent / raisonnable.
@Makyen: J'ignore le _required_ parce que cela n'a pas de sens. Si cela est légalement requis, le RGPD n'exige pas de consentement. Si c'est «requis» en raison d'une politique arbitraire de l'entreprise le disant, c'est simplement l'entreprise qui le dit. Et puis, l'entreprise a le problème que le RGPD fait le choix non pas à l'entreprise mais au consommateur. Au final, le RGPD n'a que 6 motifs justifiés, et vous ne pouvez pas en inventer un autre. «Consentement ou pas de service» n'est tout simplement pas un de ces 6.
@Makyen "L'entreprise a le droit de ne pas fournir de service à quiconque de son choix, tant que ce n'est pas pour une raison illégale." Vous vous égarez dans un territoire complexe là-bas, et cela variera probablement d'une juridiction à l'autre. La plupart des pays ont des lois anti-discrimination. Et au Royaume-Uni (on me dit), vous pouvez intenter une action si le fournisseur a abusé d'une position dominante contrairement à l'interdiction imposée par l'article 18 (l'interdiction du chapitre II) de la loi de 1998 sur la concurrence.
@Makyen voir https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/ et en particulier "Si vous faites du consentement une condition préalable à un service, il est peu probable que ce soit la base légale la plus appropriée". Si l'entreprise * a * besoin * de faire ces choses pour fournir un service, elle n'a pas besoin de consentement séparé, et si elle n'a pas besoin de le faire, alors le fait de conditionner le service au consentement n'est pas valide.
Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/103050/discussion-on-question-by-michal-is-asking-users-to-waive-gdpr-compliance-a- lega).
Si l'entreprise est une entreprise américaine, comment l'Union européenne pourrait-elle faire appliquer le GPDR? Oui, ils pourraient bloquer les paiements par carte de crédit ou virement bancaire, mais que faire si le service est gratuit? L'UE pourrait-elle émettre un mandat pour que le PDG soit extradé pour qu'il soit jugé?
Cinq réponses:
phoog
2020-01-06 18:33:42 UTC
view on stackexchange narkive permalink

Le RGPD ne cesse pas de s'appliquer en raison de l'emplacement de stockage des données. Il s'applique en fonction de l'emplacement du sous-traitant, du responsable du traitement et de la personne concernée. Si vous êtes dans l'UE, vous êtes une personne concernée couverte par le RGPD. Peu importe où les données sont stockées.

Notez que vous êtes invité à confirmer que vous savez que les lois américaines peuvent être moins protectrices, mais vous n'êtes pas invité à reconnaître que quoi que ce soit concernant l'arrangement fait que les "lois de votre pays / région" ne s'appliquent pas. La société ne semble pas non plus prétendre qu'elle ne s'applique pas, bien qu'il semble qu'elle veuille que vous le pensiez, et il n'est pas clair si elle le pense.

Vous avez raison de dire que le RGPD ne le fait pas. t permettre de renoncer à ses protections. Une personne concernée peut toujours consentir à certains traitements, et certains traitements peuvent être effectués sans consentement, mais il n'est pas possible de renoncer au droit de refuser son consentement pour un traitement qui l'exige.

Le RGPD a-t-il réellement des dents en dehors de l'UE? Je veux dire, si quelqu'un vivant aux États-Unis crée un service centré sur les États-Unis sans l'intention d'offrir des services à l'UE, l'entreprise n'a sûrement aucune obligation réelle d'obéir au RGPD si un citoyen de l'UE décide de s'y inscrire? Un tribunal américain confirmerait-il le droit de l'UE dans cette affaire? Je suppose que non.
[Apparemment pas] (https://law.stackexchange.com/a/28065/14696), si je lis bien.
Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/103049/discussion-on-answer-by-phoog-is-asking-users-to-waive-gdpr-compliance-a- legal-w).
Si l'entreprise est une entreprise américaine, comment l'Union européenne pourrait-elle faire appliquer le GPDR? Oui, ils pourraient bloquer les paiements par carte de crédit ou virement bancaire, mais que faire si le service est gratuit? L'UE pourrait-elle émettre un mandat pour que le PDG soit extradé pour qu'il soit jugé?
@Chloe il y a ici quelques questions qui vont dans ce sens. Les sanctions sont civiles, mais non pénales, il n'y aurait donc pas d'extradition. Un jugement civil étranger peut être exécuté aux États-Unis, ce qui explique, je suppose, pourquoi certains sites américains refusent de servir leurs pages aux adresses IP dans l'UE. (Mais de petites violations ne valent probablement pas la peine.) Plus de discussion dans le [salon de discussion] (https://chat.stackexchange.com/rooms/103049/discussion-on-answer-by-phoog-is-asking- user-to-waive-gdpr-compliance-a-legal-w), s'il vous plaît.
@John_ReinstateMonica: Je pense qu'il y a une énorme différence entre _ "diriger une entreprise américaine ne ciblant pas l'UE, et ne pas savoir ou se soucier de qui pourrait utiliser le service" _ d'une part, et demander explicitement, puis afficher un tel écran de consentement. Ce qui démontre sans aucun doute l'intention _explicite_ de faire des affaires dans l'UE (vous soumettant ainsi aux lois de l'UE, que cela vous plaise ou non). Dans le cas de cette entreprise américaine en particulier, il se trouve qu'elle a un bureau en Irlande ... alors ... elle est liée par le droit de l'UE d'une manière ou d'une autre, même si elle essaie de donner une impression frauduleuse aux utilisateurs finaux.
Peteris
2020-01-07 02:52:32 UTC
view on stackexchange narkive permalink

Le consentement GDPR doit être donné librement

Les conditions du consentement GDPR le définissent comme (article 4.11) «consentement» de la personne concernée signifie toute indication librement donnée, spécifique, éclairée et sans ambiguïté des données les souhaits du sujet par lesquels il ou elle, par une déclaration ou par une action positive claire, signifie son accord au traitement des données personnelles le concernant ". Il convient de noter que tous les critères sont obligatoires - si l'un d'entre eux est manquant (par exemple, il n'est pas spécifique ou n'est pas donné librement), il ne s'agit pas d'un consentement selon le RGPD.

L'article 7.4 du RGPD stipule «Lors de l'évaluation du consentement est donné librement, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution de ce contrat. " Pour clarifier cela, le considérant 43 du RGPD déclare: «Le consentement est présumé ne pas être donné librement si [...] l'exécution d'un contrat, y compris la fourniture d'un service, dépend du consentement bien que ce consentement ne soit pas nécessaire pour une telle exécution. . " qui concerne explicitement des cas comme celui-ci - si la fourniture du service est conditionnelle au "consentement", alors ce consentement est présumé ne pas être librement donné, et donc non consentement valide.

Ainsi, un enregistrement dans lequel cette case a été cochée ne donne pas à l'entreprise une base légale pour utiliser vos données. En particulier, le RGPD 7.1 stipule que "lorsque le traitement est basé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles." , il est donc de leur devoir de montrer que vous avez effectivement consenti et que votre consentement remplit tous les critères, et il semble qu’ils ne le peuvent pas. Une façon de procéder serait d'``accepter '' la case à cocher, de donner immédiatement suite à une demande de données GDPR (en leur demandant d'affirmer quelle base légale leur permet de traiter les données), et s'ils mentionnent le "consentement" comme base légale ( ils pourraient ne pas l'être, il existe d'autres moyens possibles) puis contester cela avec votre autorité locale de protection des données.

Votre réponse suppose que la collecte de données n'est _pas_ essentielle à la performance du service, ce que nous ne pouvons déterminer sans connaître les spécificités du service.
@asgallant oui, donc comme suggéré, une demande de données GDPR révélerait leur interprétation. Cependant, cela soulève la question de savoir pourquoi demandent-ils le consentement s'ils n'en ont pas besoin? Le fait qu'ils aient intentionnellement ajouté cette case à cocher suggère qu'ils croient probablement qu'ils ne peuvent pas affirmer que cette utilisation particulière des données (le fait que la collecte de données soit nécessaire pour un objectif légitime ne confère pas en soi le droit de les utiliser. données à toute autre fin) sont légitimes sur la base d'autres parties de l'article 6.1 et ils ont besoin d'une forme de consentement pour se qualifier en vertu de l'article 6.1 (a).
Comment savez-vous qu'ils n'ont pas besoin de consentement? La prétention est qu'ils ont besoin de collecter et de traiter certaines données personnelles afin d'exécuter le service. Cela me semble répondre aux critères exigeant que les utilisateurs donnent leur consentement. La présence de la case à cocher n'est pas automatiquement un signal d'alarme indiquant que l'entreprise fait quelque chose de mal. Vous devez en savoir plus pour prendre cette décision. Par exemple, si une application de prise de notes exigeait que les utilisateurs consentent à la collecte et au traitement des données GPS, des contacts, etc., afin d'utiliser l'application, _ce_ serait un drapeau rouge. (a continué)
Une application de suivi de la santé qui collecte la fréquence cardiaque, la glycémie, les mesures prises, etc. qui nécessite le consentement pour collecter et traiter ces données afin d'utiliser l'application n'est pas nécessairement un signal d'alarme.
@Peteris Considérez une entreprise qui propose des alertes par courrier électronique lorsque quelque chose d'intéressant se produit. Ils auront besoin de l'adresse e-mail afin de fournir le service; et la «nécessité» constituera la base juridique du traitement des données. Ils sont toujours libres de demander à un client potentiel s'il est acceptable de stocker et d'utiliser l'adresse e-mail; si la réponse est «non», alors l'affaire est ratée - mais mieux cela qu'un client énervé plus tard. (Oui, c'est un exemple plutôt artificiel, mais des exemples plus réalistes sont possibles.)
@MartinBonnersupportsMonica: Le stockage et l'utilisation de cette adresse e-mail sont autorisés (comme une nécessité) dans le but donné, et uniquement dans ce but. Vous pouvez également demander le consentement _librement donné_ pour d'autres utilisations telles que les publicités, mais vous ne pouvez pas mélanger l'utilisation du consentement et l'utilisation nécessaire.
@MSalters Mon exemple n'impliquait spécifiquement qu'un seul ** objectif (qui est légalement autorisé comme une nécessité). J'essaie de faire valoir les points (liés) que a) le simple fait qu'un opérateur de site Web demande s'il est OK de traiter les données ne signifie * pas * que la base juridique du traitement de ces données sera le consentement libre b) l'opérateur est autorisé à demander, même si la base légale n'est pas le consentement.
@MartinBonnersupportsMonica en effet. En droit pénal américain, les fruits d'une fouille consensuelle sont admissibles au procès, de sorte qu'un policier essaiera d'obtenir le consentement afin que le procureur n'ait pas à faire face à la charge d'établir que la fouille était par ailleurs justifiée. Un responsable du traitement qui a le consentement de la personne concernée est également soulagé de la charge de montrer que le traitement était autrement justifié, mais une telle justification pourrait certainement exister. Si tel est le cas et que la personne concernée retire son consentement, le responsable du traitement peut décider s'il doit assumer la charge ou supprimer les données.
Taemyr
2020-01-08 19:50:39 UTC
view on stackexchange narkive permalink

Le RGPD impose à une entreprise de se conformer à plusieurs exigences.

Parmi celles-ci figure l'exigence de demander le consentement éclairé de la personne concernée, c'est-à-dire. vous, pour stocker et utiliser des données.

En tant que telle, la renonciation que vous êtes invité à accepter ne semble pas être une tentative de contourner le RGPD, mais plutôt de suivre explicitement la lettre de la loi.

Veuillez noter ce qui suit:

  • Vous n'êtes pas invité à renoncer à vos droits concernant une violation de données.
  • L'entreprise ne demande pas à être autorisée à utiliser les données à des fins autres que de fournir des services de bien-être et de remise en forme.
  • L'entreprise ne demande pas à être autorisée à stocker des données qui ne lui sont pas nécessaires pour fournir des services de bien-être et de remise en forme
  • L'entreprise n'est pas vous demandant de les indemniser si un processeur de données utilise les données à des fins non nécessaires pour vous fournir des services de bien-être et de remise en forme.
  • La société note explicitement que vous êtes libre de retirer votre consentement ultérieurement.
  • Il ne vous a pas été demandé de renoncer à votre droit de recevoir les données.
  • Il ne vous a pas été demandé de renoncer à tout droit de suppression de vos données.

Compte tenu de ces informations sur la santé est considéré comme sensible, il semble difficile de voir comment une entreprise pourrait offrir des «services de bien-être et de remise en forme» d'une manière conforme au RGPD sans une dérogation similaire à celle qui vous a été présentée.

Le RGPD impose l'exigence que le le consentement soit donné librement, mais "Si je ne donne pas le consentement, je ne serais pas en mesure d'utiliser le service" n'est généralement pas considéré comme une contrainte.

En conclusion, certaines parties du RGPD s'appliquent même si le le sujet a accepté une renonciation (processus entourant les violations de données, n'utilisant pas les données à des fins autres que celles pour lesquelles elles ont été fournies, etc.), mais rien dans l'accord qui vous est demandé ne semble y toucher.

Mark Roebuck
2020-01-07 14:45:20 UTC
view on stackexchange narkive permalink

Le consentement est une base légale pour le traitement des données sensibles et pour le transfert de données à l'étranger. Le fait de donner votre consentement ne donne pas au responsable du traitement la possibilité d'ignorer vos droits en vertu du RGPD, et cette organisation ne l'implique pas, donc je suppose que vous auriez une certaine assurance.

Le problème avec la solution fournie ici est que pour être licite en vertu du RGPD, le consentement doit être `` faiblement donné ''. Si vous ne pouvez pas avoir le service sans consentement, alors il n'est pas donné librement. Par conséquent, l'organisation n'entreprend toujours pas ce traitement légalement.

"Si vous ne pouvez pas avoir le service sans consentement, alors il n'est pas donné librement": c'est incorrect. En général, un consommateur est libre de s'abstenir d'acheter un service. Pour que le consentement soit contraint, il doit exister quelque chose de plus que le simple fait de ne pas pouvoir utiliser un service sans consentement.
@phoog Dépend du service, mais c'est probablement vrai pour la plupart des services.
@phoog: Art. 7 RGPD: Lors de l'évaluation de la liberté du consentement, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est conditionnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire pour l’exécution de ce contrat.
@fNek precisely: "... qui n'est pas nécessaire à l'exécution de ce contrat" ​​signifie que si le traitement des données * est * nécessaire à l'exécution du contrat, cela n'a aucune incidence sur la détermination de la liberté du consentement. donné, car la personne concernée est libre de s'abstenir de conclure le contrat.
Pour développer ce que dit @fNek, connaître votre âge est probablement nécessaire pour fournir un service de bien-être et de remise en forme; connaître votre date de naissance ne l'est pas. Donc (en théorie du moins) ils ne sont pas autorisés à demander votre date de naissance, mais seulement votre âge.
@MichaelKay Je comprends ce que vous dites, mais ce n'est peut-être pas le meilleur exemple car sans connaître votre date de naissance, ils ne sauront pas quand votre âge changera.
gdpr360
2020-01-16 15:09:59 UTC
view on stackexchange narkive permalink

Respectueusement: certaines autres réponses supposent implicitement que la question engage des problèmes de GDPR. Ce n'est pas le cas !!!

La bonne réponse est: "pas la chance d'une boule de neige en enfer". Pourquoi? Parce que la question se heurte en fait à l'état de droit qui, en tant que méta-loi, surprise surprise, annule toute autre question juridique.

Tout accord entre les personnes concernées et les responsables du traitement est de droit privé. Le RGPD est statutaire. La renonciation proposée entre dans une certaine catégorie exprimée à peu près comme suit: " Tout accord de droit privé visant à usurper la compétence de la Cour est nul pour illégalité ".

Pour la même raison inapplicable. Ainsi, les personnes concernées peuvent revenir sur leur décision de renonciation à tout moment sans violer aucun «accord». Parce que l '«accord» était nul ab initio.

Pour la même raison, bien sûr, tout T&C qui importe un avis de confidentialité [modifier: d'une manière qui serait en conflit avec une loi] est également nul pour illégalité (ou au moins la clause est rompue s'il existe une clause de séparabilité valide conforme à la doctrine de séparabilité du droit des contrats local).

Voici une illustration. Il y a quelques mois, un juge, dans l'arrière-bois d'une juridiction peu éclairée, a inventé cette règle folle selon laquelle la formation d'un contrat avec un tueur à gages pour déroger aux règles de conformité sur le meurtre et assassiner le [patron / conjoint / conducteur qui vous ennuie aux feux de signalisation ] pourrait risquer une invitation polie à la Cour et une autre invitation polie à la prison, exprimée comme une offre trop belle pour être refusée. Surtout si l’équipe de football du juge a perdu la veille. Soyez donc prudent lorsque vous concluez de tels accords. Et assurez-vous que vos assassins préférés (et les utilisateurs concernés) ne vous moquent pas. Dites simplement s'il vous plaît!

Même les avocats tombent dans ce piège, à un niveau méta. J'ai vu trop de contrats d'entreprises de technologie qui incluent des termes tels que "les parties conviennent de déroger aux règles nationales de droit international privé de la Cour". Lorsque les juges voient de tels mots, ils répondent de trois manières non exclusives: attaquer les rédacteurs s'ils sont assez stupides pour être présents à la Cour; se limiter à un sourire de requin en riant comme un drain à l'intérieur; ou en gardant un visage de poker poli tout en se demandant "comment vais-je résister à la tentation de vous faire foutre pour cette tentative irrespectueuse et arrogante de créer un éventuel incident international?".



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...