Le consentement est une des bases légales prévue par le Règlement général sur la protection des données (RGPD). Un traitement de données personnelles peut donc être fondé sur cette base. Mais pour être en conformité avec le RGPD, ce consentement doit être libre, spécifique, éclairé et univoque. Explications.
Le recueil du consentement
Le consentement n’est pas une notion nouvelle en droit des données personnelles. Toutefois, le RGPD vient renforcer cette notion pour la rendre plus effective pour les personnes. Le consentement est défini par le RGPD comme une « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Concrètement, le consentement est le fait pour une personne d’accepter que ses données personnelles soient récoltées par le responsable de traitement. Par exemple, le consentement est recueilli avec une simple case à cocher lorsqu’il s’agit d’un formulaire en ligne. Il s’agit de l’hypothèse la plus fréquente pour la prospection commerciale.
Toutefois, le consentement ne doit pas toujours être recueilli. En effet, il existe 6 bases légales permettant de fonder un traitement de données personnelles. Ainsi, un responsable de traitement peut procéder au traitement de données sur la base de l’exécution d’un contrat. Il est nécessaire d’adapter la base légale selon le traitement de données.
Attention cependant, le consentement est obligatoire pour certains traitements spécifiques comme la prospection commerciale.
Les conditions de validité du consentement
Le RGPD impose la réunion de quatre conditions pour que le consentement recueilli soit conforme aux obligations légales. Il doit être :
- Libre : cela signifie que la personne doit avoir un véritable choix, sans que la qualité du service ne varie en fonction de l’acceptation ou du refus de donner son consentement. Par exemple, un client qui refuse de voir ses données personnelles traitées à des fins de prospection commerciale ne doit pas voir la qualité des prestations se dégrader.
- Spécifique : un consentement est réputé spécifique lorsqu’il est recueilli pour un seul type de traitement. En effet, il n’est pas possible de prévoir un consentement englobant plusieurs traitements de données. Ainsi, n’est pas conforme au RGPD le recueil d’un seul consentement pour la prospection commerciale, l’analyse de données à des fins de statistiques et l’abonnement à une newsletter. Il faut que les personnes puissent choisir de donner leur consentement à ces traitements indépendamment les uns des autres.
- Éclairé : Le consentement n’est éclairé que lorsqu’il est accompagné d’informations mises à la disposition de la personne avant qu’elle ne donne son consentement. Il faut donc faire preuve de transparence en énonçant par exemple les droits offerts à la personne : le retrait du consentement, l’objectif du traitement, où seront transférées les données.
- Univoque : il faut que le consentement soit recueilli sans ambiguïté. Par exemple, le consentement ne sera pas valable si la case d’un formulaire est déjà pré-cochée. Le recueil du consentement doit se faire expressément. Ainsi, l’absence de réponse d’une personne à un courriel sollicitant le consentement ne vaut pas acceptation.
Les garanties accompagnant le consentement
Le consentement fait l’objet de plusieurs garanties puisqu’il s’agit d’une base légale très importante du RGPD. Par exemple, il est impératif pour le responsable du traitement de pouvoir prouver, à tout moment, que la personne a bien consenti au recueil de ses données et dans le respect des conditions déjà présentées.
De plus, la personne dont les données sont traitées doit pouvoir retirer son consentement à tout moment, de façon simple et claire. Un exemple de bonne pratique de conformité RGPD : tenir un registre retraçant tous les consentements.
Par ailleurs, le consentement peut être doublé lorsque les données personnelles sont collectées auprès d’un mineur de moins de 15 ans en France. Il est alors obligatoire de recueillir le consentement du mineur et de son représentant légal.
RÉFÉRENCES :
- Retrouvez l’article 4 du RGPD définissant le consentement
- Retrouvez l’article 7 du RGPD à propos des conditions du consentement
