#RGPD : 1 – Le consentement en 10 questions

Le RGPD est entré en vigueur vendredi dernier. Impossible d’y échapper désormais. Mais il est encore temps de s’y conformer car les sanctions ne sont bien entendu pas pour tout de suite. Dans cet article, intéressons-nous à la manière dont le consentement doit être recueilli avant toute utilisation de données personnelles.

RGPD

1- Exiger le consentement du titulaire des données, est-ce nouveau?

Non, cette règle de base n’est pas nouvelle. Depuis déjà plusieurs années, la France, tout comme l’Europe appliquaient le principe d’Opt-in qui nécessite l’accord des intéressés pour la collecte et l’utilisation de leurs données personnelles. Mais ce qu’apporte le RGPD, c’est un encadrement beaucoup plus strict de la manière dont ce consentement doit être obtenu.

2- Quelles sont les règles à observer pour recueillir le consentement?

La règle la plus importante est que le consentement doit être donné par un acte positif et clair.

Positif, ce qui exclut désormais tout consentement par défaut. Finies les cases pré cochées. Finis les consentements considérés comme acquis par l’acceptation des conditions générales d’utilisation ou de vente. En matière de consentement, le silence ne vaut plus acceptation!

Clair, ce qui exclut les consentements équivoques dont les clauses ne seraient pas explicites. Cela exige que l’utilisateur soit clairement informé des finalités de la collecte des données et demain de leur traitement. Cela exige aussi que les finalités soient cohérentes avec l’activité de la personne qui collecte et utilise les données. A noter que cette exigence devrait remettre en cause les achats de fichiers…

Donc, dans l’esprit du RGPD il ne fait aucun doute que si le consentement est destiné à un profilage marketing, cela doit être clairement annoncé comme tel… !

Le RGPD comporte des exigences  élevées quant au formulaire de collecte qui devra ainsi indiquer la finalité, les personnes ayant accès aux données, la durée de conservation, les éventuels transferts lors de l’UE et les modalités de l’exercice des droits du titulaire des données.

 » Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son consentement… » (considérant 32)

3- Sous quelle forme le consentement peut-il être donné?

Le consentement doit reposer sur un acte positif. Il peut-être donné sous la forme d’une déclaration écrite. Dans cette hypothèse, cette déclaration devra être distincte d’autres questions de manière à garantir un accord non équivoque. La déclaration devra être aisément compréhensible. Le RGPD va même jusqu’à suggérer d’illustrer la demande de consentement de visuels… (considérant 58).

Le consentement peut aussi prendre la forme d’une case cochée, d’un clic – mais à condition que la formulation ne prête pas à confusion et que le titulaire des données soit clairement informé de l’enjeu. Il peut aussi être donné verbalement, en boutique par exemple au moment du passage en caisse. Mais attention dans ce cas, l’information donnée oralement devra être complète…

« Il ne saurait dès-lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité » (considérant 32)

4- Qu’en est-il du consentement des mineurs?

Le RGPD prévoit que le mineur d’au moins 16 ans obéit aux mêmes règles que l’adulte majeur. Par contre, en dessous de 16 ans le consentement n’est valable que s’il est donné par le représentant légal.

« Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques » (considérant 38)

5- Certaines données personnelles obéissent-elles à des règles spécifiques?

Tout à fait. Comme le prévoyait déjà la législation française, les données dites sensibles ne peuvent pas être collectées ni conservées (sauf pour des motifs liés à l’intérêt général). Il faut entendre par données sensibles celles qui concernent la race, l’ethnie, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, biométriques, de santé, la vie et l’orientation sexuelle.

6- Qui doit prouver le consentement?

C’est clairement à l’utilisateur des données de prouver que le consentement a été donné dans les conditions exigées. Ce consentement doit donc être tracé et la CNIL peut en exiger la preuve.

7- Le consentement donné pour un canal vaut-il pour d’autres?

C’est clairement non. Le consentement n’est valable que pour le canal ou les canaux pour lesquels il a été donné en toute connaissance de cause.

8 – Un consentement donné pour une finalité peut-il être étendu à d’autres?

C’est encore clairement non. Le consentement ne sera valable que pour la ou les finalités objet(s) de la demande.

9- Un consentement peut-il être modifié ou retiré?

Oui, un consentement donné peut-être modifié et sans justification. Il pourra par exemple être circonscrit à une finalité précise. Le consentement n’est jamais définitif et peut être retiré à tout moment. Ce retrait, prévoit le RGPD, doit être aussi facile que l’acceptation elle-même.

10- Un consentement donné avant l’entrée en vigueur du RGPD reste-il valable?

C’est une question essentielle. Il est prudent de considérer que si le consentement en cause n’avait pas respecté l’esprit du RGPD, il doit être à nouveau sollicité afin d’être mis en conformité.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s