Le consentement explicite et positif dans le RGPD
Dernière mise à jour le 24/06/2021
Le recueil du consentement lors du traitement de données personnelles est un principe posé par le Règlement Général sur la Protection des Données Personnelles (RGPD). Le consentement doit être donné par la personne concernée par le traitement de ses données.
Le RGPD impose l’obligation du recueil du consentement dans des situations particulières. Celui-ci doit également respecter de nombreuses conditions afin d’être valide, au risque de récolter des sanctions.
Qu’est-ce que le consentement selon le RGPD ?
Le consentement est une notion définie par le RGPD. Afin d’obtenir un consentement valide, le responsable du traitement doit veiller à respecter plusieurs conditions préalables au consentement.
Le consentement défini par le RGPD
L’article 4-11 du RGPD donne une définition précise du consentement. Celui-ci se définit par la manifestation d’une volonté d’une personne d’accepter le traitement de ses données personnelles. Il est ainsi demandé au responsable de traitement de requérir le consentement de ses clients ou utilisateurs dans certaines situations.
Le recueil du consentement n’est pas une obligation instaurée par le RGPD. En effet, la loi Informatique et Libertés contenait déjà la notion de consentement. Toutefois, le RGPD est venu préciser les contours de cette notion afin d’octroyer plus de droits aux particuliers sur le traitement de leurs données personnelles.
Les conditions préalables au consentement imposées par le RGPD
Le RGPD impose plusieurs conditions afin que le consentement puisse être considéré comme valide. En effet, les particuliers doivent tout d’abord disposer de certaines informations telles que :
- l’identité du responsable de traitement
- les finalités du traitement
- les catégories de données collectées
- l’existence d’un droit de retrait du consentement
- le transfert des données vers des pays non membres de l’Union Européenne
Ainsi, ces informations sont communiquées par le responsable du traitement avant que la personne ne donne son accord. Elles doivent par ailleurs être affichées de manière distincte.
Le RGPD impose-t-il une obligation du recueil du consentement ?
Le consentement au sein du RGPD fait partie des six conditions de bases légales du traitement. Celui-ci est donc obligatoire que dans certaines conditions, telles que la récolte de données sensibles.
La notion de bases légales
L’article 6-1 du RGPD pose six conditions dans lesquelles le traitement des données personnelles est autorisé. En effet, chaque responsable de traitement doit se fonder sur une base légale afin de récolter des données personnelles. Ainsi, il est par exemple possible de traiter des données à caractère personnel si le traitement est nécessaire à l’exécution du contrat ou au respect d’une obligation légale.
Il est également possible de traiter des données à caractère personnel si l’on requiert le consentement de la personne concernée. Le recueil du consentement n’est donc pas obligatoire. En effet, si le responsable de traitement dispose d’une autre base légale afin de récolter des données, il ne sera pas dans l’obligation de requérir le consentement de la personne concernée.
Le consentement imposé par le RGPD pour les données sensibles
Le recueil du consentement des personnes concernées n’est donc pas obligatoire. Toutefois, le RGPD pose cette obligation lorsqu’il s’agit de données sensibles. Celles-ci constituent les données sur les opinions politiques, l’origine raciale et ethnique, les données génétiques, les données de santé ou l’orientation sexuelle.
En principe, le recueil de ces données est strictement interdit. En effet, cette interdiction est posée par l’article 9-1 du RGPD. Toutefois, il existe plusieurs exceptions parmi lesquelles le recueil du consentement de la personne concernée.
Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. En effet, la procédure requiert une déclaration explicite de la personne concernée sur la récolte de ses données sensibles. Cela peut ainsi se matérialiser par une formulation écrite ou par un double consentement donné en ligne (une authentification via un lien et un numéro envoyé par SMS).
Comment recueillir le consentement en conformité avec le RGPD ?
Le RGPD pose plusieurs conditions afin que le consentement recueilli puisse être valide. Il permet également aux personnes concernées d’avoir un meilleur contrôle sur leurs données personnelles.
Les conditions du consentement
Un acte positif et clair
Le consentement doit tout d’abord être positif et clair. Cela signifie que cela doit être un acte direct et voulu. Il doit être univoque. En effet, la personne concernée doit être totalement consciente de donner son consentement.
La demande de consentement peut se matérialiser de diverses manières. En effet, un des exemples types de demande de consentement peut être une case à cocher dans un formulaire. Le consentement est alors invalide si la case de déclaration de consentement était pré-cochée à l’avance.
Un acte libre et spécifique
Le consentement recueilli doit par ailleurs être :
- libre : la personne concernée par le traitement des données doit être totalement libre dans son choix d’accepter ou de refuser le traitement en question.
- spécifique : le consentement ne peut pas être donné pour un service en général. Il ne joue que pour la finalité du traitement auquel il est rattaché
Les droits conférés par le RGPD
Le RGPD a conféré de nombreux droits aux particuliers, tels que la portabilité des données. En matière de consentement, les personnes concernées disposent du droit :
- au retrait du consentement donné : la personne concernée peut demander le retrait de son consentement à tout moment. Il doit être aussi facile de donner son consentement que de le retirer.
- de demander la preuve de l’obtention du consentement : le responsable du traitement doit être en mesure de prouver que la personne concernée a donné son consentement. Il est fortement recommandé au responsable de traitement de documenter l’ensemble des consentements récoltés.
Le consentement des personnes mineures
Le RGPD impose également une réglementation en matière du recueil de consentement des personnes mineures. En principe, l’âge de consentement pour le traitement des données personnelles est fixé à 16 ans. Toutefois, le RGPD permet aux Etats membres de l’Union européenne de faire varier cet âge entre 13 et 16 ans.
Ainsi, la France a instauré l’âge de consentement à 15 ans. Cela implique pour les enfants :
- de 15 ans et plus : peuvent consentir eux-mêmes au traitement de leurs données personnelles
- en dessous de 15 ans : le recueil du consentement doit être effectué auprès de l’enfant et du titulaire de l’autorité parentale.
FAQ
Qu’est-ce que le consentement selon le RGPD ?
Le consentement est une notion définie par l’article 4 du RGPD. Il se définit par la manifestation de la volonté d’une personne d’autoriser le traitement de ses données personnelles.
Le recueil du consentement est-il obligatoire ?
Le recueil du consentement est obligatoire lorsqu’il constitue la base légale du traitement des données personnelles. En effet, il existe plusieurs bases légales autorisant le traitement des données personnelles outre le consentement. Par ailleurs, le consentement est également requis lorsqu’il s’agit de données sensibles.
Comment recueillir le consentement en conformité avec le RGPD ?
Le RGPD impose plusieurs conditions afin que le consentement recueilli soit valide. Ainsi, celui-ci doit être univoque, libre, spécifique et éclairé. En effet, le consentement ne peut être contraint et plusieurs informations doivent être communiquées aux personnes concernées avant qu’elles ne donnent leur accord.

Dernière mise à jour le 24/06/2021