RGPD : Preuve du consentement

Je me pose une question sur l’application du RGPD : lorsque le consentement est une donnée aussi évanescente que le journal d’un serveur qui dit que telle IP, à telle date, a cliqué sur un truc, qu’est-ce qui sera considéré comme preuve formelle du consentement ?

Et une seconde : quelle sera sa traçabilité dans le cas de données cédées ?

Je vais prendre des exemples : Je reçois une newsletter de la société X. Que peut / doit-elle produire pour prouver que j’ai consenti ? Quid en cas de contestation de ma part ? Comment puis-je prouver mon non-consentement ?

La société X a reçu mon adresse de la société Y. Est-ce que je peux exiger de connaître Y ( à qui j’aurais prétendument donner mon consentement pour céder mes données à X).

J’ai la désagréable impression qu’au-delà du formulaire de recueil du consentement, seule chose visible, rien n’est prévu pour contrôler l’application du RGPD.

Rassurez-moi.

A priori, c’est également relié à un compte enregistré.
Le processus d’enregistrement doit être documenté en cas de contrôle.
Si c’est un système basé sur des cookies qui interdit FB, Twitter, GoogleAnalytics, à toi de vérifier (ou de faire vérifier par un informaticien) que le code javascript “saute” les appels aux trackers.

Le consentement n’est pas éternel. Même si tu donnes ton consentement le lundi, tu peux le retirer dès le mardi.
Donc à partir du moment où tu contestes, la boîte doit considérer que tu n’as plus donné ton consentement.

Cela dépend de ce que tu as signé. Si tu donnes ton accord pour une transmission à des tiers, tu vas avoir du mal.

Paris ne s’est pas construit en un jour. On a déjà le principe ; la CNIL va embaucher ; les sociétés commencent à s’engager car elles risquent gros. RdV dans 1 an pour un premier bilan.

Il faudra probablement, comme à chaque fois, 1 ou 2 gros scandale médiatique pour que les sociétés et les internautes prennent encore plus conscience. Mais je note que jamais à la radio ou à la télé on n’a autant parlé d’une loi de protection des données personnelles (une collègue me disait qu’elle avait entendu un sujet RGPD de plusieurs minutes sur Radio Nostalgie !!!). Et je ne sais pas pour toi, mais jamais je n’ai reçu autant d’emails provenant de forums, de marchands, de newsletters (même dont j’avais oublié l’existence) me demandant de confirmer. Il y a quelque chose qui est en train de bouger sur ce point de la protection des données personnelles.

Pareil, jen ai touché deux mots ici. Je feuillette aussi les site d’emailing / marketing et on voit que ça les agite. Le RGPD est une bonne chose, je ne le conteste pas.

Pas les fichiers d’emails. Ceux-là aussi s’agitent. Ils savent qu’ils ont des fichiers vérolés et tentent de rentrer dans les clous. Dans ce cas, pas de compte attaché, c’est de la revente à 100%.

Comme ils n’ont pas fait preuve d’une parfaite honnêteté par le passé, je ne serais pas étonné de voir apparaître un scandale de consentements fabriqués ou obtenus à l’arrache.

Je ne sais plus où j’ai vu ça, donc c’est hautement sujet à caution, je peux très bien avoir faux, hein.
Bref.

Il me semble que la charge de la preuve repose non sur toi, mais sur le service web.

Tu n’as pas à prouver quoi que ce soit, consentement ou absence de.
Le service web doit fournir la preuve qu’ils ont reçu ton consentement, eux.
S’ils n’ont pas de log ou d’entrée en base référant une approbation émanant de toi, ils sont pris en faute.

Pour éviter une amende maousse, j’ajoute discrètement une entrée en base.

Une infraction à 20M€ qui repose sur du sable.

Avec modification du timestamp de la base de données pour le faire coincider avec la date où tu es censé avoir donné ton accord, intercalage de l’id incrémental clé primaire de la table, modification du fichier log du serveur Web pour ajouter les transactions, modification du fichier log de la base de données, modification de toutes les sauvegardes complètes et différentielles de la base et des logs depuis le jour où tu es censé avoir donné ton accord.

Et j’ajoute même, modification de l’historisation des logs de ton FAI pour injecter une connexion entre ton domicile et leur serveur.

Et ça à chaque fois que quelqu’un conteste ? Et bien entendu sans modifier l’horodatage de tous ces fichiers qu’il aura fallu modifier.

Et donc, si contestation il y a, un huissier ira vérifier le timestamp de la base de données, l’id incrémental clé primaire de la table et modification du fichier log du serveur Web plus toutes les sauvegardes.

Je me répète : le RGPD va dans le bon sens mais rien ne permet de vérifier son application, au-delà de la forme du recueil de consentement.

Les logs timestamps machin bidule n’ont pas la valeur d’un simple contrat signé, comme celui qu’avait fabriqué un opérateur et dont il me fut facile de prouver l’inauthenticité une fois produit.

Seul un très gros scandale peut déclencher les investigations dont tu parles.

Oui. Pourquoi pas ? J’ai le cas d’un litige avec un client pour une somme beaucoup moins importante où le juge a mandaté un expert technique pour aller analyser une base de données, ses fichiers logs, vérifier leur authenticité, y retrouver les traces de certaines transactions et vérifier que tous ces éléments n’ont pas été falsifiés. La base de données ayant été à un moment hébergée chez OVH, le juge a ordonné à OVH de sortir les logs de connexion. Le rapport de l’expert a été transmis aux deux parties qui y ont apportées leurs commentaires.

Il n’est pas si facile que ça de “prouver” l’authenticité d’une signature papier hein (surtout si en face il a déja eu cette signature pour x raisons, ou encore le fait qu’une signature n’est jamais identique, etc…)

C’est au même niveau, y’a des éléments, si y’a pas d’accord que ça va en justice, ça peut enquêter en profondeur pour vérifier si y’a pas des magouilles en plus.

Idem que @Pollux1 , on a attaquer un concurrent, sur des montants “faibles” en soit (sachant qu’il magouillait beaucoup, de notre coté, on était sur “un coup de pute” à quelques milliers d’euros, actuellement, c’est plus de 2 millions d’euros qu’on lui réclame de toute part, il a aussi maintenant le fisc ou encore la commission nationale des comptes de campagnes et des financements politique sur le dos, divers organismes sociaux / formations, etc… et passage à des juridictions différentes de part les faits découverts, bien plus graves)

Mais à la base, c’était Expert + huissier envoyé par la justice pour copie de l’intégralité de leur données / système informatiques à des fins d’analyse avant toute suppression / modification, chez eux, + chez leur hébergeur en Allemagne beaucoup plus coopératif avec la demande du juge (chez le mec, y’a eu les flics qui sont venus en bonus car le mec refusait de les laisser manipuler…), simplement pour ne pas avoir respecter l’optin de certains fichiers (en gros, il nous a “piqué” un client, en lui vendant des services en plus, notamment de démarchages, qui n’étaient pas optin, le tout à des prix totalement dérisoires, vu les méthodes douteuses du gars pour récupérer des emails / téléphones…)

Vous me redonnez presque espoir.

Pour rebondir sur ce sujet, la CNIL a publié l’article suivant : Conformité RGPD : comment recueillir le consentement des personnes ?

Merci Julien.