Question:
Pourquoi certains e-mails GDPR m'obligent-ils à me désinscrire et certains à m'inscrire?
Pureferret
2018-05-23 14:32:58 UTC
view on stackexchange narkive permalink

J'ai remarqué une tendance dans les e-mails que j'ai reçus à la suite du RGPD, certains d'entre eux sont en quelque sorte «opt-out» (ou pseudo-opt-out où il vous suffit de cesser d'utiliser leur service) comme donc:

Notre politique de confidentialité mise à jour explique vos droits en vertu de cette nouvelle loi et entrera en vigueur le 25 mai 2018. En continuant à utiliser notre site ou application après cette date, vous acceptez ces conditions mises à jour.

Ou ils vous obligent à vous inscrire:

Bonjour, ceci est un autre de ces règlements généraux sur la protection des données ("RGPD") e-mails pour lesquels nous demandons la permission de vous envoyer un e-mail, même si vous êtes en dehors de l'UE.

Nous espérons que vous accepterez de continuer à recevoir de temps en temps un e-mail concernant nos dernières mises à jour.

Qu'est-ce qui différencie les deux requêtes? Stockent-ils différentes données sur moi, ou est-ce plus à voir avec leur service? J'ai vu des entreprises qui m'envoient uniquement des e-mails à propos des promotions, etc. (similaire à la deuxième citation ci-dessus), et elles ont le message de pseudo-désabonnement, donc je ne pense pas que ce soit lié au service.

Le premier exemple ne leur donne pas l'autorisation de continuer à envoyer des e-mails, à moins qu'ils n'utilisent auparavant une véritable méthode d'acceptation, mais notifient les utilisateurs des conditions mises à jour.Tous ces éléments ne sont pas directement liés au RGPD - certaines entreprises l'utilisent comme excuse pour modifier les conditions.Notez que le premier ne mentionne pas spécifiquement le RGPD
Cela pourrait très bien être simplement la façon dont le non-sens juridique a été écrit.Bien que je ne sois pas avocat, ne me croyez pas sur parole.
Question intéressante, votée et postée une réponse, mais puis-je demander pourquoi cette question est prise en compte ici?J'ai récemment posé une question sur le RGPD d'un point de vue INFOSEC, mais elle a quand même été déplacée vers law.SE.J'essaye juste de comprendre
@reed Personnellement, je suis d'accord, je considère que c'est plus une question juridique qu'une question InfoSec.Ce n'est pas parce que la technologie est liée, qu'elle appartient ici pour ainsi dire.
Cela semble être une question de droit, pas de sécurité informatique.Cela rend les choses hors sujet ici.Mais compte tenu des bonnes réponses reçues, je voudrais suggérer de le migrer vers Law Stack Exchange.
@Philipp GDPR concerne la sécurité de l'information, c'est le nom du site.Je comprends donc pourquoi il a été publié ici de toute façon.
Certains se soucient tous de (l'intention de) la loi, d'autres essaient d'employer une «bannière de cookies 2.0».Bientôt, nous verrons qui a raison et qui est poursuivi.De plus, certains voudront peut-être que vous optiez pour plus de collecte de données que ce que vous êtes tenu d'accepter et ils essaient simplement de vous envoyer un lien d'acceptation, tandis que d'autres protègent vos données mais doivent quand même autoriser une désactivation (et une suppression).option.
Je ne vois pas du tout que cette question concerne le RGPD.Comme demandé, ce ne serait pas sur le sujet Law.SE.Demander, «ce qui est plus conforme au RGPD», ce serait une question juridique.Je considère qu'il s'agit simplement d'une question de politique de confidentialité avec un angle GDPR.
Sept réponses:
N.I.
2018-05-23 20:57:19 UTC
view on stackexchange narkive permalink

Il n'est pas certain que le premier type d'e-mail soit légal. Une association française, la Quadrature du Net , envisage de lancer un recours collectif contre cinq grandes entreprises technologiques (le fameux «GAFAM») le 28 mai à propos de cette pratique. Voici un résumé de leurs arguments:

  • L'article 6 §1 du RGPD énumère six cas de traitement légal des données personnelles, l'un d'entre eux étant le consentement de l'utilisateur;
  • Article 4 § 11 stipule que le consentement doit être obtenu de manière à montrer qu'il s'agit de la volonté de l'utilisateur d'une manière claire, spécifique, informée et sans équivoque;
  • Dans le préambule du RGPD, il est expliqué que le consentement doit être un action positive, et il ne peut y avoir de consentement en cas de silence, de cases pré-cochées ou d'inaction;
  • L'article 7 §4 stipule que lors de l'obtention du consentement, il est nécessaire d'examiner si le traitement des données personnelles nécessaire pour fournir un service.

En conséquence, le «G29», le groupe des autorités nationales de protection des données de l'UE, a affirmé que si un utilisateur n'a pas choix réel, se sent contraint ou subira des conséquences négatives en cas de refus de consentement, alors le consentement donné n'est pas valide. Le G29 a donc affirmé que le RGPD garantit que donner son consentement au traitement des données personnelles ne peut pas être la contrepartie de la fourniture de services.

De plus, si une entreprise demande le consentement comme base légale pour le traitement des données personnelles, il lui est alors interdit de en utilisant les autres bases juridiques de l'article 6 pour justifier leur traitement.

(Le raisonnement va plus en détail, si vous pouvez lire le français. Ce que j'ai écrit ci-dessus n'est qu'un résumé.)

Le premier e-mail vous incite donc essentiellement à accepter quelque chose d'illégal. Si les recours collectifs que j'ai mentionnés ci-dessus aboutissent, vous pouvez vous attendre à ce que les petites entreprises emboîtent le pas et cessent d'envoyer des e-mails du premier type (ou encourent de graves conséquences juridiques).

Le site Oracle m'a présenté une boîte de dialogue de cookies.Aucun détail et un gros bouton "Accepter tout".Ensuite, j'ai dû passer par la configuration de plusieurs pages pour désactiver leur sh * t.Enfin a été dirigé vers HTTP pour recommencer le même processus.Cela ne devrait pas être légal.
"donner son consentement au traitement des données personnelles ne peut pas être la contrepartie de la fourniture de services".Cela signifie-t-il que Google, Facebook, etc. devraient permettre aux utilisateurs de choisir entre des plans gratuits (avec le suivi habituel, des publicités, etc., comme c'est le cas actuellement) et des plans payants (sans traitement des données personnelles du tout, sans consentement pourquoi que ce soit) pour tous leurs services?Cela aurait du sens et ce serait cool.
@reed Non. Dans votre exemple, le traitement des données personnelles est toujours une contrepartie pour la fourniture de services.
Mais le traitement des données personnelles est en fait le principal modèle commercial de ces entreprises.Alors, dites-vous que le RGPD signifie la mort d'un tel modèle d'entreprise?Plus de services gratuits, tout est payé?À la réflexion, certaines parties du RGPD pourraient le suggérer, mais je soupçonne qu'il ne sera pas interprété si strictement dans la pratique.
@reed Les entreprises doivent trouver un nouveau modèle commercial si elles veulent continuer à opérer dans l'UE, oui.Ou du moins trouver un moyen de rendre leur modèle légal.Je ne sais pas pourquoi vous pensez que les tribunaux n'interpréteront pas la loi strictement.
@NajibIdrissi: Sans trop sortir du sujet, il existe un concept tel que _l'intention législative_.Les tribunaux peuvent résoudre les ambiguïtés juridiques en examinant les résultats des interprétations contradictoires et en les comparant aux intentions énoncées de cette loi.Par conséquent, si une interprétation du RGPD autorise un certain modèle d'entreprise et une autre non, l'interprétation choisie peut très bien dépendre du fait que la législation était destinée à autoriser ce modèle d'entreprise.
@MSalters 1. Etes-vous certain de ne pas appliquer les concepts américains au droit européen?2. Avez-vous lu le préambule du GDPR, les discussions du Parlement européen qui sont citées sur la page web du QDN, ou bien les citations du G29 que j'ai mentionnées?Parce que l'intention de la loi est évidente.
@NajibIdrissi: Ces préambules ne seraient pas là sinon pour officialiser l'intention législative.Alors, oui, je suis sûr que ce n'est pas un concept purement américain.Notez également que je suis généralement d'accord avec vous pour dire que le consentement n'est pas donné librement lorsqu'il est obligatoire de recevoir des services (sans lien logique);il suffit de consulter mes réponses récentes sur le RGPD sur Law.SE.
@MSalters Je serais heureux de vous croire sur parole, mais pouvez-vous produire une source quelconque indiquant que l'intention législative est un concept en dehors des États-Unis?En ce qui concerne la deuxième partie de votre commentaire: vous avez donc simplement profité de l'occasion pour faire étalage de vos connaissances et ne faites aucun point réel?
@NajibIdrissi C'est certainement un concept dans la législation * britannique *, au moins - Google pour «intention parlementaire» ou «intention parlementaire» et vous trouverez de nombreux résultats.http://www.statutelawsociety.co.uk/wp-content/uploads/2017/11/The-Myth-of-Parliamentary-Intent-text.pdf (un article attaquant la notion comme incohérente) commence par noter que * "Le temps sans nombre, les juges ont évoqué l'intention du Parlement. l'intention du Parlement est considérée comme la clé de l'interprétation des lois. En effet, l'interprétation des lois consisterait à vérifier la intention du Parlement. "*
@NajibIdrissi: India a définitivement la notion d'intention législative, comme le font apparemment plus de pays du Commonwealth.Ce n'est pas une surprise compte tenu de leur héritage.L'Europe continentale l'a obtenu via "l'interprétation téléologique" de Friedrich Carl von Savigny (interpréter le sens de la loi à partir de son τέλος, de son but ou de son intention)
Je ne sais pas si je suis entièrement d'accord avec votre opinion sur la déclaration 1 ... Si vous continuez à utiliser un service, il existe une base légale et contractuelle claire pour le traitement de vos données ... Si vous ne souhaitez pas que vousdonnées traitées, vous devez alors cesser d'utiliser les services (cela peut être aussi simple que votre adresse e-mail est votre nom d'utilisateur) - ce n'est pas fort de vous armer dans quoi que ce soit, il suffit de mettre à jour les conditions pour continuer à utiliser les services en question.
@reed Il ne sera appliqué que de manière si stricte aux entreprises non européennes.
Un groupe d'activistes dépose déjà des plaintes sur la base de cette http://www.bbc.co.uk/news/technology-44252327
@MarkAmery: Ce n'est pas particulièrement intéressant, car les États-Unis et le Royaume-Uni utilisent la common law.En vertu du [droit civil] (https://en.wikipedia.org/wiki/Civil_law_ (legal_system)), les règles de base du fonctionnement d'un tribunal sont très différentes.C'est le système utilisé dans la majeure partie de l'Europe et il est beaucoup plus pertinent que ce qu'ils font au Royaume-Uni.
@RemarkLima La différence importante est ** "Ont-ils besoin de traiter vos données pour fournir le service?" ** S'ils ont besoin de vos données, dans la plupart des cas, ils n'ont même pas besoin de demander votre consentement.Mais s'ils prévoient de faire des choses avec vos données qui n'ont aucun rapport avec le service fourni (à part le financement) - alors ils ont besoin de votre consentement libre et volontaire!
@Falco Je suis tout à fait d'accord, c'est ce que je voulais dire!
(-1) Cette réponse confond deux problèmes complètement distincts.Le premier e-mail vous informe essentiellement d'un changement dans les conditions de service, avec le passe-partout habituel sur l'utilisation continue impliquant que vous acceptez le changement.Le changement semble nécessaire pour répondre aux exigences du RGPD concernant les informations, mais l'envoi d'e-mails serait de toute façon illégal si l'expéditeur n'avait pas recueilli le consentement au préalable, ce qui ne vous oblige pas à consentir à tout ce à quoi vous n'aviez pas consenti auparavant.
Le recours collectif auquel vous faites référence ne mentionne pas du tout les e-mails, il est basé sur la nature de l'accord lui-même (regroupement du consentement pour différents types de traitement de données qui ne sont pas nécessaires pour rendre le service), ce qui serait tout aussi problématique * mêmesi l'utilisateur y consent en réponse au deuxième e-mail ou sans jamais recevoir d'e-mail. *
@reed Le consentement au traitement requis pour fournir le service n'est pas requis.Par exemple, lorsque vous commandez sur la boutique en ligne, ils n'ont pas besoin de votre consentement pour traiter votre adresse ** aux fins de l'envoi du colis **.La boutique peut demander un consentement supplémentaire pour un traitement ** supplémentaire **, comme le spam ultérieurement.Ainsi, Facebook n'a pas besoin de votre consentement pour traiter et héberger votre profil, car c'est le service fourni.Quant aux publicités, le traitement de vos données se traduit par de meilleures publicités: mieux payées pour elles, plus pertinentes pour vous.Sans votre consentement aux annonces personnalisées, ils vous montreront simplement plus d'annonces aléatoires pour compenser cela.
@akostadinov Si cela était réellement important pour de très nombreuses personnes (ou plus important que d'obtenir un service gratuit et des résultats plus précis), alors les entreprises qui ne font pas cela avec des données existeraient déjà et seraient rentables.Ce qui ne devrait pas être légal, c'est que les statistes essaient de décider des valeurs que chacun a.
reed
2018-05-23 18:09:30 UTC
view on stackexchange narkive permalink

Quelques citations de la loi GDPR:

[...] Le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données à caractère personnel le concernant, par exemple par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Cela peut inclure le fait de cocher une case lors de la visite d'un site Internet, le choix des paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite indiquant clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de la personne concernée doit être donné à la suite d'une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie. [...]

[...] Lorsque le traitement est basé sur le consentement conformément à la directive 95/46 / CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dans lequel le consentement a été donné est conforme aux conditions du présent règlement [...]

[...] «consentement» de la personne concernée désigne tout élément librement donné, spécifique, informé et sans ambiguïté l'indication des souhaits de la personne concernée par laquelle elle ou elle, par une déclaration ou par une action affirmative claire, signifie son accord sur le traitement des données personnelles la concernant; [...]

[...] Pour évaluer si le consentement est librement donné, il est tenu le plus grand compte de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est conditionnel au consentement au traitement des données personnelles qui n'est pas nécessaire à l'exécution de ce contrat. [...]

Le RGPD nécessite un consentement explicite. Si un service a collecté des données personnelles et que vous n'y avez pas donné son consentement explicite, il doit à nouveau demander votre consentement, explicitement. Je crois qu'en théorie, un service doit également demander à nouveau un consentement explicite chaque fois qu'il modifie sa politique de confidentialité, bien que je ne trouve pas de déclaration à ce sujet. Je pense donc que votre exemple de «désinscription pseudo-implicite» n'est en aucun cas légal, même si vous aviez auparavant donné votre consentement explicitement de manière conforme au RGPD (et j'en doute), car ils sont en train de modifier leur politique de confidentialité et vous demandant de l'accepter implicitement en continuant simplement à utiliser leur service.

En supposant qu'ils choisissent d'utiliser la justification du consentement.Il se peut que ceux qui envoient des liens de "désinscription" par e-mail revendiquent un intérêt légitime, mais offrent un désengagement pour se conformer à d'autres droits.
Le RGPD ne nécessite pas de consentement explicite - il ne s'agit que de l'une des 6 bases légales de traitement.
@symcbean, vous avez raison, dans certains cas, vous n'avez pas vraiment besoin du consentement de l'utilisateur pour tout.Mais dans ce cas particulier, je pense que nous parlions de consentement (opt-in, opt-out, etc.) et pour autant que je sache, il devrait être explicite.
* Si un service a collecté des données personnelles et que vous n'y avez pas donné son consentement explicite, il doit à nouveau demander votre consentement, explicitement * n'a pas de sens.S'ils n'ont pas de consentement, ils ne peuvent pas traiter vos données même si ce n'est que pour demander ledit consentement.L'interprétation la plus charitable est que ces e-mails ne sont que les e-mails habituels «nous avons changé nos conditions d'utilisation», sans rapport avec la notion de consentement dans le cadre du RGPD.
@Relaxed,, vous pourriez avoir donné un consentement * implicite * dans le passé, ou un consentement pas assez explicite pour le RGPD.Le contraste que je signalais se situe entre implicite / explicite, et non entre consentement / non-consentement.
@reed Je l'ai mais cela ne résout pas le problème.Si le consentement implicite n'est pas suffisant, vous n'avez pas de consentement, point final.Quelle que soit la norme, vous devez la respecter * avant * d'envoyer un e-mail.Peut-être pensent-ils pouvoir s'en tirer, mais la loi ne dit certainement pas que vous devez demander à nouveau le consentement, ce qui est dit, c'est que vous devez cesser d'utiliser les données.
Overmind
2018-05-23 15:28:35 UTC
view on stackexchange narkive permalink

La 1ère catégorie sont les grandes entreprises (comme les grands fournisseurs de messagerie) qui feront ce qu'elles veulent de toute façon et puisque vous souhaitez utiliser leur service, vous devrez accepter leurs conditions. Ne pas faire cela vous empêchera d'utiliser leurs services.

La 2ème catégorie est celle qui vous demande si vous souhaitez recevoir des informations ou non. Il s'agit généralement de sociétés commerciales et le fait de refuser de recevoir leurs offres ne vous empêchera pas de faire affaire avec elles.

"Ne pas faire cela vous empêchera d'utiliser leurs services."est interdit par le RGPD et je connais une association (appelée "La Quadrature du Net" si cela vous intéresse) qui a déjà prévu de lancer des actions collectives contre 12 grandes entreprises (dont Google, Apple, Facebook, Amazon, Microsoft ...) suivantLundi, et la principale plainte est la suivante.
@NajibIdrissi pouvez-vous fournir un lien vers cet article en particulier?Le site Web en quadrature est un peu dense.
@MatthewFitzGerald-Chamberlain J'ai écrit une réponse contenant un résumé et un lien.
@Najib - oui, c'est correct, mais les grands oppresseurs ne s'en soucient pas vraiment.Ils continueront à faire ce qu'ils font.
@NajibIdrissi sur ce que je peux lire, l'action est lancée le vendredi 25 mai 2018 (pas lundi prochain).Voici un lien pour la version française: https://gafam.laquadrature.net/
Michael Kay
2018-05-25 03:26:54 UTC
view on stackexchange narkive permalink

Premièrement, il n'y a pas encore de jurisprudence, et différents avocats interprètent les règles de différentes manières: certains jouent très prudemment, d'autres naviguent plus près du vent. Certains estiment probablement qu'ils ne figureront probablement pas en bonne place sur la liste des personnes qui méritent d'être poursuivies. (Avouons-le, personne ne va poursuivre un club sportif pour avoir noté qui a réparé la tondeuse en dernier lieu).

Deuxièmement, le consentement n'est que l'un des moyens par lesquels la conservation des données peut être autorisée. D'autres incluent l'existence d'un contrat, la nécessité de se conformer aux lois et réglementations, et les «intérêts légitimes» (qui sont très ouverts à interprétation: mais par exemple, une compagnie d'assurance peut conserver l'historique de vos réclamations afin de détecter un schéma de réclamations frauduleuses).

Troisièmement, contrairement aux apparences, les consentements existants n'ont pas besoin d'être renouvelés pour le RGPD; si vous avez consenti l'année dernière, c'est (probablement!) assez bien.

IANAL - J'ai cependant lu le règlement.

ysmartin
2018-05-25 02:11:57 UTC
view on stackexchange narkive permalink

Comme d'autres réponses l'ont indiqué, le RGPD nécessite un consentement explicite, éclairé et sans ambiguïté. De plus, conformément au principe de responsabilité, les responsables du traitement doivent être en mesure de démontrer que.En théorie:

  1. Les organisations qui envoient des e-mails de désinscription ont déjà enregistré correctement votre consentement explicite (par exemple lorsque vous vous êtes abonné à une newsletter ou signé un contrat), et peut-être qu'ils mettent à jour leurs politiques de confidentialité pour mieux s'aligner sur le RGPD, et donc ils vous envoient un e-mail, et ils en profitent pour vous rappeler que vous pouvez toujours vous désinscrire .
  2. Les organisations qui envoient des e-mails d'acceptation n'ont pas enregistré le consentement approprié et elles se précipitent pour que votre consentement soit enregistré et stocké dans leurs tout nouveaux outils de gestion GDPR.
    3. ol>

    En pratique:

    1. Certaines organisations qui envoient des e-mails de désinscription marchent peut-être sur de la glace mince, et elles sont convaincues que leurs consentements démodés seront reconnus par les autorités, lorsque
    2. Certaines organisations qui envoient des e-mails opt-in étaient déjà en dehors de la loi (en ce qui concerne le directive précédente et les lois des États membres), mais ils le regrettent maintenant car ils ont peur des amendes.

    Ou cela dépend de l'avocat que chacun d'eux a engagé.

gabe3886
2018-05-24 16:15:57 UTC
view on stackexchange narkive permalink

En plus des domaines déjà mentionnés ici, il y a une section du RGPD relative à la conservation des données. Un grand nombre d'e-mails qui demandent aux gens (ou du moins à ceux que je reçois) de s'inscrire indiquent également qu'ils n'ont eu aucune interaction avec (ou plutôt avec moi) depuis quelques années, et donc si je souhaite continuer à recevoir leurs e-mails, il est nécessaire de les réinscrire. Cela leur permet de savoir que leurs données sont à jour et que tout autre élément peut être supprimé.

Alors que la loi britannique sur la protection des données stipule déjà que les données ne peuvent pas être conservées plus longtemps que nécessaire, elles ont été largement ignorées et les listes de diffusion ont continué de croître. Le RGPD, cependant, exige que les données soient supprimées après un laps de temps raisonnable. Si vous vous inscrivez, vous réinitialisez l'horloge en fonction de la pertinence de leurs données.

Agent_L
2018-05-26 17:26:47 UTC
view on stackexchange narkive permalink

Il y a 2 choses en jeu ici:

  • chaque fois que l'ancien consentement est encore valide, car il a été demandé d'une manière qui était déjà conforme à cette loi entrante (ce qui donne une impression opt-out, mais c'est simplement la continuation de votre ancien opt-in) par rapport à l'ancien consentement a été jugé insuffisant ou nul, vous devez donc le renouveler, par exemple. parce que la case à cocher était cochée par défaut (il s'agissait en fait d'une désactivation à l'époque, elle doit donc être remplacée par une toute nouvelle option).
  • chaque fois que l'entreprise souhaite que les choses continuent comme elles étaient ( encore une fois, ancien opt-in qui ressemble à se désinscrire maintenant) ou utilisent-ils l'opportunité de vous demander plus d'autorisations qu'ils n'en avaient déjà (optez pour quelque chose d'entièrement nouveau, comme les e-mails).

Il semble que vous ayez affaire au premier cas ici. La première entreprise a simplement mis à jour ses politiques et jugé les anciens consentements assez bons tandis que la seconde a jugé votre ancien consentement nul en vertu de la nouvelle loi et vous demande de consentir à nouveau.

Le RGPD n'est pas nouveau, ici où je vis, il l'avait 2 ans vacatio legis, donc en théorie les sites pourraient être préparés depuis 2 ans au moins. Il est parfaitement imaginable que certains consentements soient déjà conformes (en réalité, personne ne s'en souciait jusqu'à l'entrée en vigueur du projet de loi).

Concernant le cas numéro 2, il y a un exemple sur https://gdprhallofshame.com/ où le zoom essaie de faire exactement cela.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...