Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la protection des internautes est assurée par l’exigence d’un consentement préalable à l’utilisation de leurs données personnelles. Pilier fondamental du RGPD, ce consentement doit être donné « par un acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant » (concernant 32, RGPD).

Alia Oukacha, Etudiante en Master 2 Droit des affaires et Management-gestion (M2/MBA) de l’Université Paris II Panthéon-Assas.

Depuis la mise en place du RGPD, deux problématiques se dégagent.

Un « oui » plein et entier ?

Le consentement doit s’exprimer par un acte positif, mais quelle forme revêt-il ? Est-ce un « oui » clair et indiscutable ou est-ce un « oui » fugace permettant d’accéder rapidement à un service ?

La stratégie des nouveaux acteurs reposant sur la simplicité du parcours client, cette question est centrale à la problématique du RGPD.
Il est alors utile de se demander dans quelle mesure le RGPD peut compromettre la croissance des nouveaux acteurs.

Cette problématique se retrouve notamment dans le secteur de la FinTech. La question de l’authentification forte de l’utilisateur met à mal la fluidité des parcours clients. Afin d’effectuer cette authentification, la DSP 2 requiert l’utilisation d’au moins deux éléments indépendants figurant parmi trois catégories différentes.
Ces trois ensembles regroupent : la connaissance (ex : mot de passe), la possession (ex : transmission d’informations via SMS sur un mobile) et l’inhérence (ex : empreinte digitale, reconnaissance faciale ou vocale).
A titre d’exemple, si vous effectuez un achat en ligne, vous devrez renseigner les informations de votre carte bancaire (connaissance) ainsi qu’un code reçu par SMS sur votre téléphone mobile (possession).

L’objectif de cette authentification forte est de réduire le risque de fraude, mais celle-ci crée des étapes supplémentaires dans le parcours client, et va ainsi à l’encontre de la stratégie première des FinTechs : proposer un service simple et rapide. Voilà un véritable dilemme entre sécurité et efficacité ! En voulant assurer la sécurité des échanges, le législateur pourrait en réalité freiner le développement de la FinTech.

Un clic « éclairé » ou « forcé » ?

Le RGPD exige que le consentement soit donné par un acte volontaire par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données à caractère personnel. Toutefois, il est évident que pour l’utilisation de certains services, l’utilisation des données personnelles n’est pas utile.

La Commission nationale de l’informatique et des libertés (CNIL), s’est notamment penchée sur le sujet. L’Autorité a mis en exergue les différentes formes de violation de l’exigence de consentement par les services proposés en ligne. Malheureusement, on constate aujourd’hui que dans l’écrasante majorité des cas, les formulaires proposés contraignent l’utilisateur à cocher la case leur demandant le droit d’utiliser leurs données à caractère personnel pour lui permettre de continuer son activité.
Le cas typique de violation est celui où le bouton « continuer » reste grisé et n’est pas « cliquable » tant que l’utilisateur ne coche pas les cases l’obligeant à « accepter » toutes les utilisations de ses données personnelles à des fins commerciales, alors que celles-ci ne sont pas nécessaires à la bonne exécution du service proposé.

Le consentement de l’utilisateur est dès lors forcé puisque celui-ci est obligé d’accepter les conditions fixées par le site internet s’il souhaite bénéficier du service proposé. Un formulaire se voulant être en conformité avec le RGPD ne devrait pas conditionner l’accès à son service lorsque l’octroi des données en question ne sont pas nécessaires à ce dernier.
Dans le cas inverse, lorsque l’utilisateur a la liberté de ne pas cocher ladite case, son consentement est alors véritablement libre, et non plus contraint.
Il convient donc de nuancer l’efficacité du RGPD dans sa lutte pour la protection des données des utilisateurs.

Alia Oukacha, Etudiante, M2/MBA Droit des affaires et Management-Gestion, Université Paris II Panthéon-Assas. École de Droit et Management de Paris [->https://www.u-paris2.fr/fr/formations/offre-de-formation/masters-2-en-droit/master-2-droit-des-affaires-et-management-mba]