Le G29 (groupe d’autorités européennes chargées de la protection des données) a envoyé une seconde lettre le 15 février pour exprimer à nouveau ses craintes quant à la validité du consentement des utilisateurs Window 10 et la proportionnalité des données utilisées pour chaque traitement de données. Cette lettre fait suite à sa première lettre envoyée à Microsoft au mois de janvier 2017 relatives.
Les préoccupations initiales du G29
Dans sa première lettre à Microsoft, le G29 a soulevé les préoccupations suivantes concernant la collecte et l’utilisation par Microsoft des données personnelles de l’utilisateur de Window 10:
- Le paramètre d’installation par défaut
- Manque apparent de contrôle pour un utilisateur pour empêcher la collecte ou le traitement ultérieur des données
- Données collectées.
Suite à cette première lettre, Microsoft a proposé des améliorations au niveau des réglages d’installation pour offrir aux utilisateurs plus de contrôle sur leurs données personnelles.
Cependant, le G29 ne semblait pas pleinement satisfait de ces nouvelles améliorations car il faisait part de nouvelles inquiétudes quant au consentement et à la proportionnalité des données utilisées par Microsoft dans une deuxième lettre envoyée en février.
Selon le G29 et en dépit des améliorations proposées, Microsoft n’obtient pas le consentement éclairé des utilisateurs
En effet, selon le groupe, les cinq options proposées dans l’écran d’installation pour limiter ou désactiver certains types de traitement de données ne sont pas suffisantes car il n’est pas indiqué clairement quelles données sont collectées ou traitées pour chaque fonctionnalité qui peut être désactivée ou limitée.
De plus, pour les autorités, Microsoft devrait clairement expliquer quels types de données personnelles sont traitées pour quelle finalité de traitement. Dans le cas contraire, le consentement ne peut être considéré comme suffisamment informé et ne peut donc pas être valide.
Le G29 a des préoccupations supplémentaires quant à la proportionnalité des données collectées à des fins différentes
Ce manque d’information a également soulevé la préoccupation du WP29 quant à la proportionnalité des données personnelles traitées par Windows 10 à des fins différentes.
Que dit le GDPR ou la Directive 95/46 / CE sur le consentement éclairé?
La position du G29 est intéressante car elle donne des indications quant au niveau d’information qu’elle attend pour considérer le consentement valide.
En vertu du GDPR et de la directive actuelle, le consentement doit au moins être spécifique, informé et librement donné – et sans ambiguïté dans le cadre du GDPR – pour être considéré comme valide.
Les considérants de la directive ne fournissent aucune information quant au consentement éclairé, mais le considérant 32 du GDPR prévoient que «pour être informé, la personne concernée doit connaître au moins l’identité du responsable du traitement et les finalités du traitement auxquelles les données personnelles sont destinées « .
Le considérant n’énonce pas expressément qu’ il est nécessaire de mentionner spécifiquement quelles données sont utilisées pour chaque finalité de traitement soumis au consentement.
Dans certaines circonstances, il ne suffit peut-être pas de fournir uniquement l’identité du responsable du traitement et les finalités du traitement de données, surtout si le manque d’information équivaut à une mauvaise information voire une tromperie. Cependant, nous pouvons penser que, tant que cela n’est pas précisé dans la mention d’information et tant que cette information n’est pas trompeuse, les données personnelles fournies peuvent être utilisées pour le ou les traitement(s) soumis au consentement. Si la personne concernée n’est pas d’accord, elle devrait refuser que ses données soient traitées à ces fins spécifiques.
Cependant, il semble que le G29 ait d’autres attentes et exige plus de détails pour que le consentement soit dûment informé. Par conséquent, il peut être nécessaire d’informer les utilisateurs des données utilisées pour chaque traitement de données soumis au consentement.
Cette exigence n’étant pas expressément prévue dans le GDPR ou la directive, il sera intéressant de voir quelle sera la position finale car elle peut changer la façon dont une politique de confidentialité devra être rédigée.
Cette publication est également disponible en en_GB.