L’autorité italienne de protection des données (la Garante Privacy) a pris des mesures à l’encontre de deux sites de comparaison d’assurances. En l’absence de preuves de la validité des consentements obtenus par ces sites, l’APD a prononcé une amende de 120 000 euros.
Avevano registrato migliaia di consensi per finalità di #marketing, ma a causa di un bug non sono riusciti a dimostrare la reale volontà degli utenti e che il consenso fosse stato davvero espresso. Il #GarantePrivacy sanziona per 120.000 euro due siti di comparazione di polizze👇
— Garante Privacy (@GPDP_IT) 2 mars 2023
Cette décision intervient près d’un an après le début de l’enquête, que l’APD avait ouverte en raison de plusieurs signalements et d’une réclamation.
Lors de son enquête sur les sites concernés, la Garante Privacy a fait les constats suivants :
- Le formulaire qui proposait aux utilisateurs de fournir des informations pour recevoir un devis présentait deux irrégularités. D’une part, certaines demandes de consentement étaient identifiées comme « obligatoires ». D’autre part, certaines cases (comme celle qui permettait de consentir aux activités de marketing) étaient précochées.
- Lorsqu’un utilisateur recevait un devis par e-mail, il pouvait le consulter en cliquant sur un lien « Consulter votre devis ». Au moment où il cliquait sur ce lien, tous les consentements facultatifs étaient enregistrés comme si l’utilisateur les avait explicitement accordés, même lorsque ce n’était pas le cas.
D’après la société, cette situation n’était pas intentionnelle et s’expliquait par un bug de son système. Cependant, elle a enregistré des consentements qui ne reflétaient pas exactement les choix des utilisateurs ou qui n’avaient jamais été accordés. 9 700 utilisateurs étaient concernés par le premier cas et 2 155 utilisateurs par le second.
Tous ces constats ont conduit la Garante Privacy à sa décision finale : une amende de 120 000 euros.
En quoi le RGPD a-t-il été violé ?
Le RGPD accorde une grande importance au consentement, qui doit répondre à certaines exigences : il doit être donné librement, spécifique, éclairé et univoque. Dans le cas présent, le consentement n’était pas donné librement, car certaines cases du formulaire de demande de devis étaient précochées.
L’amende s’explique par l’incapacité des responsables du traitement à démontrer que les consentements avaient été obtenus conformément aux exigences du RGPD.
Il incombe au responsable du traitement d’établir une preuve univoque de consentement qui contient :
Comment recueillir une preuve de consentement
Il n’est pas évident de recueillir une preuve de consentement qui contient tous ces éléments. Heureusement, il y a des solutions, comme la Consent Solution de iubenda !
Notre Consent Solution vous aide à adapter vos formulaires et à stocker les preuves de consentement exigées par le RGPD :
- Cette solution s’intègre parfaitement à vos formulaires de collecte de données. Vous pouvez choisir l’option que vous préférez : frontend, backend, extension WordPress ou outils d’automatisation tels que Zapier et Make.
- Elle se synchronise avec vos documents juridiques.
- Elle comprend un tableau de bord intuitif qui vous permet de retrouver les consentements Ă tout moment.
💡 De nombreuses autorités de protection des données à travers l’Europe (notamment au Royaume-Uni, en France, en Italie et en Belgique) ont aligné leurs règles relatives aux cookies et aux traqueurs sur les exigences du RGPD. Par conséquent, vous pourriez également avoir besoin du Registre des Préférences Cookies et Consentements si vous utilisez des cookies non techniques.