Selon le dictionnaire Le Robert, le « consentement » se définit comme l’acquiescement donné à un projet, la décision de ne pas s’y opposer.
Dans le cadre du RGPD la définition de ce terme n’est pas différente seulement un peu plus complexe.
Alors prenez un café, asseyez-vous confortablement dans votre siège et on vous explique tout en 5 min ! ☕️
La réponse au sondage « « J’accepte de recevoir des offres promotionnelles de la société X et de ses partenaires commerciaux ? » est-elle une forme de consentement valable ? ? »
Pour introduire le sujet, nous vous avons proposé un sondage, le 22 février dernier sur notre page LinkedIn, en vous demandant si l’acceptation de recevoir des offres promotionnelles d’une société et de ses partenaires commerciaux est une forme de consentement valable. Bien joué ! Sur 126 votants, 178% d’entre vous ont « Non ? ». En effet, il doit être une manifestation de la volonté de la personne concernée.
Les 6 bases légales prévues par le RGPD
Le consentement est l’une des 6 bases légales prévues par le RGPD. Choisir sa base légale est obligatoire pour que le traitement soit licite. Cela détermine également les droits dont vont pouvoir se prévaloir les personnes concernées pour le traitement considéré.
? Les droits ne seront pas les mêmes en fonction de la base légale choisie.
- Le consentement
- Le contrat
- L’obligation légale
- La mission d’intérêt publique
- La sauvegarde des intérêts vitaux
- L’intérêt légitime
Nous sommes en train, à l’occasion de nos articles de blog et nos épisodes de 1 minute pour tout comprendre, de vous présenter et expliquer en détails chacune de ces bases légales. Suivez-nous pour n’en rater aucun. La semaine prochaine nous aborderons le contrat ! ??
Comprendre le principe de consentement au sens du RGPD ?
L’article 4.11 du RGPD définit le consentement comme une manifestation de volonté, émanant de la personne concernée et qui doit être libre, spécifique, éclairée et univoque.
En effet, il permet aux personnes d’accepter ou de refuser que leurs données soient traitées.
Le responsable de traitement choisit lui-même la base légale du traitement. Avec le RGPD, le responsable du traitement de données juge lui-même des moyens et finalités du traitement. Il justifie ses choix pour respecter le principe d’accountability.
Comment recueillir le consentement des personnes ?
La CNIL conseille de recueillir le consentement à l’écrit. Par exemple en joignant une case à cocher du type opt-in en bas de son formulaire, comme « J’accepte que mes données soient traitées par la société X pour qu’elle m’envoie de la prospection commerciale par mail ».
Pour que cette base légale soit valable, elle doit répondre aux quatre critères précités :
- Libre c’est-à-dire que le consentement doit être donné sans que la personne ne soit contrainte ou influencée dans son choix,
- Spécifique signifie qu’il ne s’applique que pour une seule finalité prédéfinie.
Si par exemple vous souhaitez envoyer une newsletter, mais aussi des mails proposant des offres promotionnelles et que vous transférez les données des personnes à vos partenaires pour qu’eux aussi envoient de la prospection commerciale. Vous devez recueillir le consentement des personnes pour chacune de ces finalités. Il ne faut pas utiliser une phrase comme « J’accepte que mes données soient traitées pour recevoir notre newsletter, notre prospection commerciale et celles de nos partenaires ». Vous devez le recueillir des personnes en leur proposant trois cases à cocher distinctes, une pour chacune des finalités de traitements.,
- Éclairé, ce critères rejoint l’obligation d’informer les personnes concernées par le traitement et d’être transparent (lien vers l’article),
- Univoque c’est-à-dire que le consentement doit être un acte positif. La CNIL considère par exemple que le consentement recueilli par le biais d’une case pré cochée n’est pas univoque. La personne doit clairement avoir conscience qu’elle donne son accord, pas de doute possible ici ni de formulation trompeuse (double négation, opt-out, etc…)
Le responsable de traitement doit toujours s’assurer que les personnes concernées peuvent retirer leur consentement à tout moment, facilement et gratuitement. C’est le « droit au retrait du consentement ». De plus, selon l’article 7 paragraphe 1 du RGPD, le responsable de traitement doit être en mesure de prouver que le consentement de la personne a été recueilli valablement. Le responsable de traitement peut à ce titre tenir un registre des consentements. Ce document recense l’ensemble des consentements recueillis dans le respect du RGPD.
Les cas particuliers
Selon la CNIL, dans certains cas, le recueil du consentement doit répondre à des exigences spécifiques. ?
- Le consentement des mineurs :
L’article 8 du RGPD pose les conditions applicables au consentement des enfants dans le cadre des services de la société de l’information. Il dispose que le consentement d’un mineur d’au moins 16 ans est licite. En effet, pour les mineurs de moins de 16 ans, le consentement n’est licite qu’à condition d’avoir recueilli le consentement du titulaire de l’autorité parentale.
Le RGPD laisse cependant les États libres de faire varier cette limite d’âge à condition qu’elle ne soit pas inférieure à 13 ans. Ainsi, en France, le consentement des enfants âgés de plus de 15 ans est licite.
- Le consentement explicite :
Il s’agit des hypothèses où le consentement n’est pas nécessaire au titre de la base légale du traitement, mais qu’il est requis au regard d’une autre obligation du RGPD. C’est notamment le cas en matière de traitement de données sensibles ou pour permettre une prise de décision entièrement automatisé. Le consentement doit alors être explicite. C’est-à-dire que le responsable de traitement doit mettre en place des mécanismes spécifiques pour collecter le consentement des personnes sur ces points précis. La CNIL donne les exemples de moyens pour obtenir un consentement explicite :- Mettre à disposition des personnes une case dédiée au recueil du consentement pour le traitement de données sensibles,
- Recueillir cette base légale par le biais d’une déclaration écrite et signée par la personne.
Mission RGPD face au consentement
Vous avez du mal avec les bases légales ? La gestion de votre conformité vous parait complexe ? Vous vous sentez perdus ?
✅ Mission RGPD vous facilite la gestion de vos demandes d’exercice de droits. Avec cet outil vous pouvez mettre à disposition des personnes un formulaire d’exercice de droits automatisé. Les personnes remplissent elles-mêmes les champs du formulaire et renseignent les informations nécessaires à la gestion de leur demande. Une fois le formulaire remplis et envoyé, la demande d’exercice de droits et automatiquement transposée dans la plateforme.
Ne perdez plus de temps, c’est si simple !