Le consentement explicite et positif dans le RGPD

Le consentement explicite et positif dans le RGPD

L’obligation de recueillir le consentement d’une personne concernée par le traitement de ses données personnelles est consacrée par le Règlement général européen sur la protection des données (RGPD) comme les données santé entrant en vigueur le 25 mai 2018. Le RGPD est devenu une obligation à laquelle il faut se soumettre faute de quoi ceux qui se risqueraient à l’ignorer se verraient infliger de lourdes sanctions.

À partir de ce jour, l’obtention du consentement explicite et positif de la personne concernée est la « condition sine qua non » du traitement des données à caractère personnel. Cette obligation permettra aux responsables du traitement de données de légitimer les traitements des données à caractère personnel au sein d’une entreprise ou d’un organisme.

La nécessité de l’obtention d’un consentement explicite et positif d’une personne concernée par le traitement des données n’est cependant pas systématique.

 

La déclaration de consentement explicite et positif : qu’est-ce que c’est ?

Le consentement explicite de la personne concernée par le traitement des données personnelles :

La déclaration du consentement doit être claire et précise, à l’oral comme à l’écrit. La déclaration de consentement ne se reporte qu’au traitement des données pour lequel le consentement est obligatoire. C’est pour cela que la déclaration de consentement de la personne concernée doit comporter l’ensemble des informations relatives au traitement des données pour lequel il est requis : la nature des données devant être collectées, les risques du transfert des données, les effets et le déroulement du traitement des données personnelles.

Le recueil du consentement explicite et positif de la personne concernée est la condition préalable au traitement des données de la personne.

Article 4 n°11 du RGPD : « (…) « Consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ; (…) »

Le consentement éclairé de la personne concernée par le traitement des données personnelles :

Accompagnement de la demande de consentement d’une information préalable, claire et précise sur le traitement que vont subir les données personnelles de la personne concernée.

Bon à savoir : La formation RGPD de sensibilisation d’une entreprise au nouveau règlement européen sur la protection des données personnelles permet la mise en conformité de l’entreprise au RGPD.

Le consentement de la personne concernée est un consentement éclairé, dans le sens où il ne doit en aucun cas permettre une interprétation erronée. Le consentement doit être univoque.

Pour cela, la personne concernée doit recevoir de la part du responsable aux traitements l’ensemble des informations nécessaire lui permettant de comprendre les différents consentements à fournir selon les différents types de traitement. Le consentement doit être approprié au traitement et la personne concernée doit en avoir pleinement conscience.

 

Le recueil du consentement explicite et positif

Le consentement de la personne concernée doit être recueilli préalablement au traitement des données à caractère personnel.

Le consentement explicite et positif d’une personne est en général recueilli pour les types de traitement de données sensibles suivants :

  • Traitement (collecte, utilisation et stockage) de données sensibles
  • Réutilisation de données personnelles ayant été initialement collectées à des fins différentes
  • Utilisation de cookies
  • Utilisation des données personnelles dans le cadre de la prospection commerciale par voie électronique (Optimisation de la clientèle existante et recherche de nouvelle clientèle via internet)

Exemple : Le consentement de la personne concernée peut être recueilli par une entreprise avec pour finalité d’envoyer des e-mails newsletters à la personne régulièrement.

Bon à savoir ! Le consentement explicite et positif de la personne concernée par le traitement des données n’est pas requis s’il existe une raison légale au traitement des données.

Le consentement n’est donc généralement pas obligatoire dans les cas suivants :

  • Existence d’un contrat entre l’entreprise traitant les données et la personne concernée par le traitement
  • Obligation légale pour l’entreprise de traiter des données personnelles
  • Traitement de données réalisé par les pouvoirs publics
  • Intérêts légitimes du traitement des données pour le responsable du traitement

Précisions de l’intérêt légitime du traitement des données pour le responsable du traitement :

D’une part, les droits et libertés fondamentales de la personne concernée priment toujours sur les intérêts légitimes des responsables au traitement des données. La mise en œuvre de cette exception ne joue ainsi généralement que pour les autorités publiques lors de l’accomplissement de leurs missions.

D’autre part, l’exception « intérêts légitimes » ne peut être mise en œuvre que si la personne concernée pouvait légitimement et raisonnablement s’attendre au traitement de ses données personnelles.

Consentement au traitement des données et enfant mineur :

Le RGPD innove dans le sens où il règle expressément le consentement au traitement de données sensibles en présence d’enfants mineurs. La protection des mineurs de moins de 16 ans est enfin consacrée par une disposition légale dans le cadre du traitement et de la protection des données personnelles des citoyens européens.

Article 8 du RGPD :

« 1. (…)  le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2.Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles. (…) »

Les enfants mineurs de plus de 16 ans peuvent en principe donner librement un consentement au traitement de leurs données personnelles comme par exemple dans le cas d’une inscription sur un réseau social comme Facebook.

Les Etats membres peuvent néanmoins prévoir par le biais de dispositions légales nationales que l’âge permettant à un enfant mineur de donner un consentement sans l’autorisation des parents soit inférieur à 16 ans.

Les enfants mineurs de moins de 13 ans ne peuvent donc en aucun cas donner librement leur consentement au traitement de données personnelles les concernant sans l’accord des parents.

Le responsable du traitement devra vérifier que le consentement est bien donné par un mineur âgé d’au moins 16 ans ou le cas échéant, avec l’autorisation d’une personne ayant une autorité parentale sur l’enfant mineur.

 

Les conditions du consentement explicite et positif

Un acte positif et clair

Le consentement doit être positif et clair. Cela signifie que cela doit être un acte direct et voulu. La personne donnant son consentement doit en être totalement consciente et doit elle-même effectuer l’action de donner le consentement.

La demande de consentement peut se matérialiser de diverses manières. Un des exemples types de demande de consentement peut être une case à cocher dans un formulaire. Le consentement est alors invalide si la case de déclaration de consentement était pré-cochée à l’avance. De nombreuses règles encadrent le consentement via opt-in et opt-out.

Considérant 32 du RGPD : « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. »

Le consentement doit donc être dissocié des autres modalités et conditions du traitement des données. Le consentement ne pourra en aucun cas être recueilli de manière implicite.

Attention ! L’adage « Qui ne dit mot consent » n’est pas applicable dans le cadre du RGPD et de la protection des données personnelles au sein de l’Union européenne.

Exemples de consentement valide :

  • Case à cocher
  • Déclaration ou comportement actif de la personne concernée indiquant qu’elle accepte expressément le traitement de ses données
  • Signature manuscrite

Exemples de consentement non valide :

  • Case pré-cochée
  • Consentement implicite

Un consentement libre

La personne concernée par le traitement des données et devant donner son consentement doit être totalement libre dans son choix d’accepter ou de refuser le traitement en question.

Elle doit pouvoir donner et retirer son consentement à tout moment sans subir de préjudices découlant de son choix.

C’est pour cela qu’il ne peut pas exister de lien de subordination entre la personne concernée et le responsable du traitement. Il ne doit en aucun cas exister de déséquilibre significatif entre ces deux personnes.

Un consentement spécifique

Le consentement ne peut pas être donné pour un service en général. On parle dans le cadre de la protection de données personnelles de « consentement spécifique ». Le consentement ne joue que pour la finalité – le traitement –  à laquelle il est rattaché.

Le consentement doit être relatif au traitement des données personnelles de la personne concernée exclusivement. Une personne ne peut pas donner son consentement pour le traitement des données et pour les Conditions Générales d’Utilisation d’un site internet (CGU) en même temps par exemple. Le consentement se doit d’être donné spécifiquement en rapport aux données personnelles d’une personne.

 

L’obtention et le retrait du consentement explicite et positif

La preuve de l’obtention du consentement de la personne concernée

Article 7 n°1 RGPD : « 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »

Il est fortement recommandé au responsable de traitement de documenter l’ensemble des consentements récoltés afin de pouvoir fournir la preuve de l’obtention du consentement de la personne concernée en cas de litige.

Il doit établir un registre de consentement permettant de démontrer quand et pourquoi une personne a donné son consentement pour un traitement de données en particulier.

Doivent également figurer dans le registre l’ensemble des informations communiquées à la personne concernée préalablement à sa décision de donner le consentement.

En effet, comme vu ci-dessus, le consentement de la personne doit être éclairé et l’entreprise doit pouvoir le prouver.

Le retrait du consentement donné

Article 7 n°3 du RGPD : « 3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »

Le consentement est une condition préalable au traitement de données personnelles et peut être aussi facilement donné que retiré par la personne concernée. Elle garde tout au long du traitement des données la pleine emprise sur ses données personnelles. Le retrait du consentement doit être aussi simple que le fait de donner son consentement.

Le responsable au traitement des données a l’obligation d’informer la personne concernée sur son droit de retirer le consentement à tout moment. Il doit informer la personne concernée préalablement à son consentement.