Skip to content
  1. HomeLegalPlace
  2. Guides
  3. RGPD
  4. Le consentement explicite et positif dans le RGPD

Le consentement explicite et positif dans le RGPD

RGPD

Dernière mise à jour le 20/03/2024

Sommaire

Obtenir un devis RGPDObtenir un devis RGPD

Le recueil du consentement lors du traitement de données personnelles est un principe posé par le Règlement Général sur la Protection des Données Personnelles (RGPD). Le consentement doit être donné par la personne concernée par le traitement de ses données.

Le RGPD impose l’obligation du recueil du consentement dans des situations particulières. Celui-ci doit également respecter de nombreuses conditions afin d’être valide, au risque d’encourir les sanctions du RGPD.

Obtenir un devis gratuit RGPD

Qu’est-ce qu’est le consentement en termes de RGPD ?

Le consentement est une notion définie par le RGPD.

En effet, l’article 4-11 du RGPD vient donner un définition précise du consentement et de ses composantes.

Ce n’est pas une obligation  instaurée par le RGPD car la loi informatique et liberté énonçait déjà cette notion mais le RGPD est venu en préciser les contours pour protéger les données personnelles des utilisateurs.

Ainsi, il s’agit d’une manifestation de volonté qui doit être libre spécifique, éclairée et équivoque grâce à laquelle la personne concernée a accepté expressément que ses données à caractère personnel fasse l’objet d’un traitement.

A noter : les données personnelles comprennent toutes les informations permettant d’identifier directement ou indirectement une personne. A ce titre, il y a plusieurs catégories de données allant des moins sensibles aux plus sensibles et donc plus protégées.

De plus, ce consentement doit être donné par une déclaration ou un acte positif clair.

Ainsi, avant de donner leur consentement de manière valable, les personnes concernées doivent être en mesure de connaître les informations suivantes : 

  • L’identité du responsable de traitement ;
  • Les finalités de traitement ;
  • Les catégories de données collectées ;
  • L’existence du droit de retrait du consentement ;
  • Le transfert des données vers des pays non membres de l’Union européenne.

Ainsi, ces informations sont communiquées par le responsable du traitement avant que la personne ne donne son accord. Elles doivent par ailleurs être affichées de manière distincte.

Ces informations sont fréquemment insérées au sein des mentions légales ou des conditions générales de vente.

Bon à savoir : la notion de consentement est une des 6 bases légales prévues par le RGPD pour traiter les données à caractère personnel. De plus, le responsable doit être en mesure de démontre la validité du retour à une telle base légale.

Le consentement est il toujours obligatoire pour le RGPD ?

Le consentement n’est pas toujours requis mais dans certaines certaines il devient obligatoire.

Le principe

Non, dans le cadre du RGPD il n’est pas toujours obligatoire de donner son consentement.

En effet, selon le RGDP, il n’est pas obligatoire de recueillir le consentement pour enregistrer les données dans un fichier lorsque les données collectés ont pour but :

  • L’exécution d’un contrat ou des mesures pré-contractuelles ;
  • L’établissement de certains fichiers eu égard à des obligations légales : telles que le recensement ;
  • L’exécution d’une mission d’intérêt public ou relevant de l’autorité publique ;
  • La sauvegarde des intérêts vitaux d’une personne (comme en cas de catastrophe naturelle, d’épidémie) ;
  • Pour une intérêt légitime : tel que la prévention des fraudes, la sécurité SAUF si les intérêts ou les libertés fondamentales de la personne concernée prévalent.

Dans tous les autres cas, le consentement de la personne concernée reste obligatoire.

Une fois le consentement obtenu, le fichier contenant les données obtient ainsi son caractère licite.

Attention : dans certaines situations, le recueil du consentement est obligatoire dans les situations telles la prospection commerciale par courrier et pour les données personnelles sensibles (les données de santé par exemple).

Les bases légales du RGPD

L’article 6-1 du RGPD pose 6 conditions dans lesquelles le traitement des données personnelles est autorisé.

En effet, chaque responsable de traitement doit se fonder sur une base légale afin de récolter des données personnelles.

Il est également possible de traiter des données à caractère personnel si l’on requiert le consentement de la personne concernée.

Le recueil du consentement n’est donc pas obligatoire. En effet, si le responsable de traitement dispose d’une autre base légale afin de récolter des données, il ne sera pas dans l’obligation d’obtenir le consentement de la personne concernée.

Bon à savoir : le responsable du traitement est soumis au principe d’accountability. Il est donc dans l’obligation d’informer les personnes concernées de la base légale du traitement de leurs données.

Quels sont les critères de validité du consentement ?

Comme évoqué précédemment, pour être valable le consentement doit remplir 4 caractéristiques ;

  • Libre ;
  • Spécifique ;
  • Eclairé ;
  • Univoque.

Les caractéristiques du consentement selon le RGPD

La matérialité du consentement

Dans tous les cas, le consentement doit être positif et clair en ce qu’il doit être explicite.

Ainsi, il doit constituer un acte direct et voulu.

La personne en question doit être totalement consciente de donner son consentement et doit effecteur elle même l’action de donner son consentement.

Par conséquent, la demande de consentement peut se matérialiser de différentes manières comme une case à cocher dans un formulaire.

Attention : le consentement sera invalide si la case de déclaration de consentement était pré-cochée à l’avance. De plus, beaucoup de règles encadrent le consentement, notamment le consentement via opt-in et opt-out.

Un consentement libre

Tout d’abord, le consentement au traitement des données doit être libre.

En d’autre termes, la personne qui donne son consentement doit le faire sans avoir peur d’accepter ou de refuser et des conséquences que cette action lui procure.

A noter : elle doit pouvoir donner et retirer son consentement à tout moment sans subir ou craindre de subir des préjudices découlant de ce choix.

Un consentement spécifique

Ensuite, le consentement doit être spécifique.

En d’autres termes, il doit être donné pour un seul traitement et pour une finalité déterminée.

Ainsi, si un traitement comporte plusieurs finalités, la personne doit être en mesure de de consentir indépendamment pour chacune des finalités.

Bon à savoir : par conséquent, le consentement doit être relatif au traitement des données personnelles de la personne concernée exclusivement.

Un consentement éclairé

Ensuite, le consentement donné pour le traitement des données doit être un consentement éclairé.

Par conséquent, pour être valable le consentement doit accompagné des informations que doit être mesure de connaître l’utilisateur énonce au début de l’article.

A noter : ses informations sont fournies dans une logique de transparence et concourent à la transmission d’un consentement éclairé.

Un consentement univoque

La dernière caractéristique du consentement pour être validé est le fait qu’il soit univoque.

En pratique, un consentement univoque se traduit par une une déclaration ou tout autre acte positif.

Attention : par conséquent, ne peuvent pas être considérés comme univoque les consentements recueillis par les cases pré-cochées, ou pré-activées, les consentements groupés notamment en cas de présence de plusieurs traitements ou par inaction (en effet, il ne se présume pas).

Quels sont les autres droits conférés par le RGPD ?

Le RGPD a conféré de nombreux droits aux particuliers, tels que la portabilité des données.

En matière de consentement, les personnes concernées disposent du droit :

  • Au retrait du consentement donné : la personne concernée peut demander le retrait de son consentement à tout moment. Il doit être aussi facile de donner son consentement que de le retirer.
  • De demander la preuve de l’obtention du consentement : le responsable du traitement doit être en mesure de prouver que la personne concernée a donné son consentement. Il est fortement recommandé au responsable de traitement de documenter l’ensemble des consentements récoltés.
Bon à savoir : le délégué à la protection des données (DPO) peut établir un registre de consentement permettant de démontrer quand et pourquoi une personne a donné son consentement pour un traitement de données en particulier.

Quelle est la durée du consentement face au RGPD ?

Le RGPD ne fixe pas de durée de validité pour le consentement donné. 

Cette dernière varie selon le contexte, tel que :

  • La finalité à laquelle le consentement se rapporte ;
  • La portée du consentement initial ;
  • La nature des activités ;
  • Les attentes légitimes et raisonnables de la personne qui a donné le consentement.

En pratique, et conformément à l’article 5.1 du RGPD, le responsable du traitement peut vérifier que le consentement constitue toujours une base juridique suffisante pour conserver des données d’une personne par rapport à la finalité pour laquelle il a a été donnée.

🔎 Zoom : La manipulation des données est source d’actualités et demande une grande rigueur pour les entreprises. Aussi, afin de vous aider dans cette tâche difficile, LegalPlace vous propose de réaliser un devis de mise en conformité RGPD : une solution simple, efficace et économique !

Comment retirer son consentement ?

Conformément à l’article 7.3 du RGPD, la personne qui a donné son consentement peut le retirer à tout moment.

En revanche, ce règlement ne précise pas comment le retrait doit s’effectuer.

La seule indication porte sur le consentement donné par voie électronique. Par conséquemment, ce dernier doit être retiré de la même manière qu’il a été donné.

Dans tous les cas, lorsqu’une personne donne son consentement, tous les traitements relatifs à ce pourquoi il a été donné doivent cesser.

Attention : néanmoins, le retrait du consentement n’est pas rétroactif. Ainsi, les raisons pour lesquelles il a été donné restent licites.

Quelles sont les spécificités du consentement ?

Il existe certaines situations spécifiques qui nécessitent des aménagements du consentement, notamment face à des mineurs et face à des données sensibles.

Le consentement des mineurs

Le RGPD impose également une réglementation en matière du recueil de consentement des personnes mineures.

En principe, l’âge de consentement pour le traitement des données personnelles est fixé à 16 ans.

Toutefois, le RGPD permet aux états membres de l’Union européenne de faire varier cet âge entre 13 et 16 ans.

Ainsi, la France a instauré l’âge de consentement à 15 ans. Cela implique pour les enfants :

  • De 15 ans et plus : qu’ils peuvent consentir eux-mêmes au traitement de leurs données personnelles ;
  • En dessous de 15 ans : que le recueil du consentement doit être effectué auprès de l’enfant et du titulaire de l’autorité parentale.

Les données sensibles

Le recueil du consentement des personnes concernées n’est donc pas obligatoire. Toutefois, le RGPD pose cette obligation lorsqu’il s’agit de données sensibles. Celles-ci constituent les données sur les opinions politiques, l’origine raciale et ethnique, les données génétiques, les données de santé ou l’orientation sexuelle.

En principe, le recueil de ces données est strictement interdit. En effet, cette interdiction est posée par l’article 9-1 du RGPD. Toutefois, il existe plusieurs exceptions parmi lesquelles le recueil du consentement de la personne concernée.

Bon à savoir : Ces données peuvent également être collectées par exemple si elles permettent de sauvegarder les intérêts vitaux de la personne concernée ou si elles ont été manifestement rendues publiques par la personne.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. En effet, la procédure requiert une déclaration explicite de la personne concernée sur la récolte de ses données sensibles. Cela peut ainsi se matérialiser par une formulation écrite ou par un double consentement donné en ligne (une authentification via un lien et un numéro envoyé par SMS).

Comment se prouve le consentement dans le cadre du RGPD ?

Au regard, de l’article 7 du RGPD c’est au responsable du traitement d’apporter la preuve du consentement. 

Par conséquent, il doit être prouvé que l’utilisateur a consenti de manière valide et licite au traitement de ses données.

Or, le règlement ne précise pas comment la preuve peut être rapportée.

Par conséquent, la preuve peut être constituée par faisceau d’indice comprenant les documents de l’entreprise en termes de RGPD, l’horodatage de recueils des consentements.

Mais selon la CNIL 3 élément doivent être rapportés pour constituer une preuve :

  • L’identité de l’utilisateur qui a consenti ;
  • Le traitement auquel il a consenti ;
  • Le moment où il a donné son consentement

FAQ

Qu’est-ce que le consentement selon le RGPD ?

Le consentement est une notion définie par l’article 4 du RGPD. Il se définit par la manifestation de la volonté d’une personne d’autoriser le traitement de ses données personnelles.

Le recueil du consentement est-il obligatoire ?

Le recueil du consentement est obligatoire lorsqu’il constitue la base légale du traitement des données personnelles. En effet, il existe plusieurs bases légales autorisant le traitement des données personnelles outre le consentement. Par ailleurs, le consentement est également requis lorsqu’il s’agit de données sensibles.

Comment recueillir le consentement en conformité avec le RGPD ?

Le RGPD impose plusieurs conditions afin que le consentement recueilli soit valide. Ainsi, celui-ci doit être univoque, libre, spécifique et éclairé. En effet, le consentement ne peut être contraint et plusieurs informations doivent être communiquées aux personnes concernées avant qu’elles ne donnent leur accord.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 20/03/2024

S’abonner
Notification pour
guest

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Télécharger notre guide gratuit

Articles similaires

Le principe d’accountability RGPD
Les obligations d'une association avec le RGPD
Le RGPD pour les TPE
Rédiger une politique de confidentialité conforme au RGPD
Le RGPD et les données de santé
Le consentement explicite et positif dans le RGPD
Les sanctions en cas de non-respect du RGPD
Le droit à la portabilité des données personnelles
Le RGPD et le profilage
Se mettre en conformité au RGPD en quelques étapes