Quelques citations de la loi GDPR:
[...] Le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données à caractère personnel le concernant, par exemple par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Cela peut inclure le fait de cocher une case lors de la visite d'un site Internet, le choix des paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite indiquant clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de la personne concernée doit être donné à la suite d'une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie. [...]
[...] Lorsque le traitement est basé sur le consentement conformément à la directive 95/46 / CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dans lequel le consentement a été donné est conforme aux conditions du présent règlement [...]
[...] «consentement» de la personne concernée désigne tout élément librement donné, spécifique, informé et sans ambiguïté l'indication des souhaits de la personne concernée par laquelle elle ou elle, par une déclaration ou par une action affirmative claire, signifie son accord sur le traitement des données personnelles la concernant; [...]
[...] Pour évaluer si le consentement est librement donné, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est conditionnel au consentement au traitement des données personnelles qui n'est pas nécessaire à l'exécution de ce contrat. [...]
Le RGPD nécessite un consentement explicite. Si un service a collecté des données personnelles et que vous n'y avez pas donné son consentement explicite, il doit à nouveau demander votre consentement, explicitement. Je crois qu'en théorie, un service doit également demander à nouveau un consentement explicite chaque fois qu'il modifie sa politique de confidentialité, bien que je ne trouve pas de déclaration à ce sujet. Je pense donc que votre exemple de «désinscription pseudo-implicite» n'est en aucun cas légal, même si vous aviez auparavant donné votre consentement explicitement de manière conforme au RGPD (et j'en doute), car ils sont en train de modifier leur politique de confidentialité et vous demandant de l'accepter implicitement en continuant simplement à utiliser leur service.