Le consentement explicite et positif dans le RGPD

Le recueil du consentement lors du traitement de données personnelles est un principe posé par le Règlement Général sur la Protection des Données Personnelles (RGPD). Le consentement doit être donné par la personne concernée par le traitement de ses données. Le RGPD impose l’obligation du recueil du consentement dans des situations particulières. Celui-ci doit également respecter de nombreuses conditions afin d’être valide, au risque de récolter des sanctions. Obtenir un devis gratuit RGPD Qu'est-ce que le consentement selon le RGPD ? Le consentement est une notion définie par le RGPD. Afin d'obtenir un consentement valide, le responsable du traitement doit veiller à respecter plusieurs conditions préalables au consentement. Le consentement défini par le RGPD L'article 4-11 du RGPD donne une définition précise du consentement. Celui-ci se définit par la manifestation d'une volonté d'une personne d'accepter le traitement de ses données personnelles. Il est ainsi demandé au responsable de traitement de requérir le consentement de ses clients ou utilisateurs dans certaines situations. Bon à savoir : Les données personnelles sont des données permettant d'identifier directement ou indirectement une personne physique. Le recueil du consentement n'est pas une obligation instaurée par le RGPD. En effet, la loi Informatique et Libertés contenait déjà la notion de consentement. Toutefois, le RGPD est venu préciser les contours de cette notion afin d'octroyer plus de droits aux particuliers sur le traitement de leurs données personnelles. Les conditions préalables au consentement imposées par le RGPD Le RGPD impose plusieurs conditions afin que le consentement puisse être considéré comme valide. En effet, les particuliers doivent tout d'abord disposer de certaines informations telles que : l'identité du responsable de traitement les finalités du traitement les catégories de données collectées l'existence d'un droit de retrait du consentement le transfert des données vers des pays non membres de l'Union Européenne Ainsi, ces informations sont communiquées par le responsable du traitement avant que la personne ne donne son accord. Elles doivent par ailleurs être affichées de manière distincte. A noter : Ces informations sont fréquemment insérées au sein des mentions légales ou des conditions générales de vente. Le RGPD impose-t-il une obligation du recueil du consentement ? Le consentement au sein du RGPD fait partie des six conditions de bases légales du traitement. Celui-ci est donc obligatoire que dans certaines conditions, telles que la récolte de données sensibles. La notion de bases légales L'article 6-1 du RGPD pose six conditions dans lesquelles le traitement des données personnelles est autorisé. En effet, chaque responsable de traitement doit se fonder sur une base légale afin de récolter des données personnelles. Ainsi, il est par exemple possible de traiter des données à caractère personnel si le traitement est nécessaire à l'exécution du contrat ou au respect d'une obligation légale. Il est également possible de traiter des données à caractère personnel si l'on requiert le consentement de la personne concernée. Le recueil du consentement n'est donc pas obligatoire. En effet, si le responsable de traitement dispose d'une autre base légale afin de récolter des données, il ne sera pas dans l'obligation de requérir le consentement de la personne concernée. Bon à savoir : le responsable du traitement est soumis au principe d'accountability. Il est donc dans l'obligation d'informer les personnes concernées de la base légale du traitement de leurs données. Le consentement imposé par le RGPD pour les données sensibles Le recueil du consentement des personnes concernées n'est donc pas obligatoire. Toutefois, le RGPD pose cette obligation lorsqu'il s'agit de données sensibles. Celles-ci constituent les données sur les opinions politiques, l'origine raciale et ethnique, les données génétiques, les données de santé ou l'orientation sexuelle. En principe, le recueil de ces données est strictement interdit. En effet, cette interdiction est posée par l'article 9-1 du RGPD. Toutefois, il existe plusieurs exceptions parmi lesquelles le recueil du consentement de la personne concernée. Bon à savoir : Ces données peuvent également être collectées par exemple si elles permettent de sauvegarder les intérêts vitaux de la personne concernée ou si elles ont été manifestement rendues publiques par la personne. Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. En effet, la procédure requiert une déclaration explicite de la personne concernée sur la récolte de ses données sensibles. Cela peut ainsi se matérialiser par une formulation écrite ou par un double consentement donné en ligne (une authentification via un lien et un numéro envoyé par SMS). Comment recueillir le consentement en conformité avec le RGPD ? Le RGPD pose plusieurs conditions afin que le consentement recueilli puisse être valide. Il permet également aux personnes concernées d'avoir un meilleur contrôle sur leurs données personnelles. Les conditions du consentement Un acte positif et clair Le consentement doit tout d'abord être positif et clair. Cela signifie que cela doit être un acte direct et voulu. Il doit être univoque. En effet, la personne concernée doit être totalement consciente de donner son consentement. A noter : La personne doit elle-même effectuer l’action de donner le consentement. La demande de consentement peut se matérialiser de diverses manières. En effet, un des exemples types de demande de consentement peut être une case à cocher dans un formulaire. Le consentement est alors invalide si la case de déclaration de consentement était pré-cochée à l’avance. Bon à savoir : De nombreuses règles encadrent le consentement via opt-in et opt-out. Un acte libre et spécifique Le consentement recueilli doit par ailleurs être : libre : la personne concernée par le traitement des données doit être totalement libre dans son choix d’accepter ou de refuser le traitement en question. A noter : elle doit pouvoir donner et retirer son consentement à tout moment sans subir de préjudices découlant de son choix. spécifique : le consentement ne peut pas être donné pour un service en général. Il ne joue que pour la finalité du traitement auquel il est rattaché Bon à savoir : Le consentement doit être relatif au traitement des données personnelles de la personne concernée exclusivement. Les droits conférés par le RGPD Le RGPD a conféré de nombreux droits aux particuliers, tels que la portabilité des données. En matière de consentement, les personnes concernées disposent du droit : au retrait du consentement donné : la personne concernée peut demander le retrait de son consentement à tout moment. Il doit être aussi facile de donner son consentement que de le retirer. de demander la preuve de l'obtention du consentement : le responsable du traitement doit être en mesure de prouver que la personne concernée a donné son consentement. Il est fortement recommandé au responsable de traitement de documenter l’ensemble des consentements récoltés. Bon à savoir : Le délégué à la protection des données (DPO) peut établir un registre de consentement permettant de démontrer quand et pourquoi une personne a donné son consentement pour un traitement de données en particulier. Le consentement des personnes mineures Le RGPD impose également une réglementation en matière du recueil de consentement des personnes mineures. En principe, l'âge de consentement pour le traitement des données personnelles est fixé à 16 ans. Toutefois, le RGPD permet aux Etats membres de l'Union européenne de faire varier cet âge entre 13 et 16 ans. Ainsi, la France a instauré l'âge de consentement à 15 ans. Cela implique pour les enfants : de 15 ans et plus : peuvent consentir eux-mêmes au traitement de leurs données personnelles en dessous de 15 ans : le recueil du consentement doit être effectué auprès de l'enfant et du titulaire de l'autorité parentale. FAQ