Le consentement explicite et positif dans le RGPD
Dernière mise à jour le 20/03/2024
Le recueil du consentement lors du traitement de données personnelles est un principe posé par le Règlement Général sur la Protection des Données Personnelles (RGPD). Le consentement doit être donné par la personne concernée par le traitement de ses données.
Le RGPD impose l’obligation du recueil du consentement dans des situations particulières. Celui-ci doit également respecter de nombreuses conditions afin d’être valide, au risque d’encourir les sanctions du RGPD.
Qu’est-ce qu’est le consentement en termes de RGPD ?
Le consentement est une notion définie par le RGPD.
En effet, l’article 4-11 du RGPD vient donner un définition précise du consentement et de ses composantes.
Ce n’est pas une obligation instaurée par le RGPD car la loi informatique et liberté énonçait déjà cette notion mais le RGPD est venu en préciser les contours pour protéger les données personnelles des utilisateurs.
Ainsi, il s’agit d’une manifestation de volonté qui doit être libre spécifique, éclairée et équivoque grâce à laquelle la personne concernée a accepté expressément que ses données à caractère personnel fasse l’objet d’un traitement.
De plus, ce consentement doit être donné par une déclaration ou un acte positif clair.
Ainsi, avant de donner leur consentement de manière valable, les personnes concernées doivent être en mesure de connaître les informations suivantes :
- L’identité du responsable de traitement ;
- Les finalités de traitement ;
- Les catégories de données collectées ;
- L’existence du droit de retrait du consentement ;
- Le transfert des données vers des pays non membres de l’Union européenne.
Ainsi, ces informations sont communiquées par le responsable du traitement avant que la personne ne donne son accord. Elles doivent par ailleurs être affichées de manière distincte.
Ces informations sont fréquemment insérées au sein des mentions légales ou des conditions générales de vente.
Le consentement est il toujours obligatoire pour le RGPD ?
Le consentement n’est pas toujours requis mais dans certaines certaines il devient obligatoire.
Le principe
Non, dans le cadre du RGPD il n’est pas toujours obligatoire de donner son consentement.
En effet, selon le RGDP, il n’est pas obligatoire de recueillir le consentement pour enregistrer les données dans un fichier lorsque les données collectés ont pour but :
- L’exécution d’un contrat ou des mesures pré-contractuelles ;
- L’établissement de certains fichiers eu égard à des obligations légales : telles que le recensement ;
- L’exécution d’une mission d’intérêt public ou relevant de l’autorité publique ;
- La sauvegarde des intérêts vitaux d’une personne (comme en cas de catastrophe naturelle, d’épidémie) ;
- Pour une intérêt légitime : tel que la prévention des fraudes, la sécurité SAUF si les intérêts ou les libertés fondamentales de la personne concernée prévalent.
Dans tous les autres cas, le consentement de la personne concernée reste obligatoire.
Une fois le consentement obtenu, le fichier contenant les données obtient ainsi son caractère licite.
Les bases légales du RGPD
L’article 6-1 du RGPD pose 6 conditions dans lesquelles le traitement des données personnelles est autorisé.
En effet, chaque responsable de traitement doit se fonder sur une base légale afin de récolter des données personnelles.
Il est également possible de traiter des données à caractère personnel si l’on requiert le consentement de la personne concernée.
Le recueil du consentement n’est donc pas obligatoire. En effet, si le responsable de traitement dispose d’une autre base légale afin de récolter des données, il ne sera pas dans l’obligation d’obtenir le consentement de la personne concernée.
Quels sont les critères de validité du consentement ?
Comme évoqué précédemment, pour être valable le consentement doit remplir 4 caractéristiques ;
- Libre ;
- Spécifique ;
- Eclairé ;
- Univoque.
La matérialité du consentement
Dans tous les cas, le consentement doit être positif et clair en ce qu’il doit être explicite.
Ainsi, il doit constituer un acte direct et voulu.
La personne en question doit être totalement consciente de donner son consentement et doit effecteur elle même l’action de donner son consentement.
Par conséquent, la demande de consentement peut se matérialiser de différentes manières comme une case à cocher dans un formulaire.
Un consentement libre
Tout d’abord, le consentement au traitement des données doit être libre.
En d’autre termes, la personne qui donne son consentement doit le faire sans avoir peur d’accepter ou de refuser et des conséquences que cette action lui procure.
Un consentement spécifique
Ensuite, le consentement doit être spécifique.
En d’autres termes, il doit être donné pour un seul traitement et pour une finalité déterminée.
Ainsi, si un traitement comporte plusieurs finalités, la personne doit être en mesure de de consentir indépendamment pour chacune des finalités.
Un consentement éclairé
Ensuite, le consentement donné pour le traitement des données doit être un consentement éclairé.
Par conséquent, pour être valable le consentement doit accompagné des informations que doit être mesure de connaître l’utilisateur énonce au début de l’article.
Un consentement univoque
La dernière caractéristique du consentement pour être validé est le fait qu’il soit univoque.
En pratique, un consentement univoque se traduit par une une déclaration ou tout autre acte positif.
Quels sont les autres droits conférés par le RGPD ?
Le RGPD a conféré de nombreux droits aux particuliers, tels que la portabilité des données.
En matière de consentement, les personnes concernées disposent du droit :
- Au retrait du consentement donné : la personne concernée peut demander le retrait de son consentement à tout moment. Il doit être aussi facile de donner son consentement que de le retirer.
- De demander la preuve de l’obtention du consentement : le responsable du traitement doit être en mesure de prouver que la personne concernée a donné son consentement. Il est fortement recommandé au responsable de traitement de documenter l’ensemble des consentements récoltés.
Quelle est la durée du consentement face au RGPD ?
Le RGPD ne fixe pas de durée de validité pour le consentement donné.
Cette dernière varie selon le contexte, tel que :
- La finalité à laquelle le consentement se rapporte ;
- La portée du consentement initial ;
- La nature des activités ;
- Les attentes légitimes et raisonnables de la personne qui a donné le consentement.
En pratique, et conformément à l’article 5.1 du RGPD, le responsable du traitement peut vérifier que le consentement constitue toujours une base juridique suffisante pour conserver des données d’une personne par rapport à la finalité pour laquelle il a a été donnée.
Comment retirer son consentement ?
Conformément à l’article 7.3 du RGPD, la personne qui a donné son consentement peut le retirer à tout moment.
En revanche, ce règlement ne précise pas comment le retrait doit s’effectuer.
La seule indication porte sur le consentement donné par voie électronique. Par conséquemment, ce dernier doit être retiré de la même manière qu’il a été donné.
Dans tous les cas, lorsqu’une personne donne son consentement, tous les traitements relatifs à ce pourquoi il a été donné doivent cesser.
Quelles sont les spécificités du consentement ?
Il existe certaines situations spécifiques qui nécessitent des aménagements du consentement, notamment face à des mineurs et face à des données sensibles.
Le consentement des mineurs
Le RGPD impose également une réglementation en matière du recueil de consentement des personnes mineures.
En principe, l’âge de consentement pour le traitement des données personnelles est fixé à 16 ans.
Toutefois, le RGPD permet aux états membres de l’Union européenne de faire varier cet âge entre 13 et 16 ans.
Ainsi, la France a instauré l’âge de consentement à 15 ans. Cela implique pour les enfants :
- De 15 ans et plus : qu’ils peuvent consentir eux-mêmes au traitement de leurs données personnelles ;
- En dessous de 15 ans : que le recueil du consentement doit être effectué auprès de l’enfant et du titulaire de l’autorité parentale.
Les données sensibles
Le recueil du consentement des personnes concernées n’est donc pas obligatoire. Toutefois, le RGPD pose cette obligation lorsqu’il s’agit de données sensibles. Celles-ci constituent les données sur les opinions politiques, l’origine raciale et ethnique, les données génétiques, les données de santé ou l’orientation sexuelle.
En principe, le recueil de ces données est strictement interdit. En effet, cette interdiction est posée par l’article 9-1 du RGPD. Toutefois, il existe plusieurs exceptions parmi lesquelles le recueil du consentement de la personne concernée.
Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. En effet, la procédure requiert une déclaration explicite de la personne concernée sur la récolte de ses données sensibles. Cela peut ainsi se matérialiser par une formulation écrite ou par un double consentement donné en ligne (une authentification via un lien et un numéro envoyé par SMS).
Comment se prouve le consentement dans le cadre du RGPD ?
Au regard, de l’article 7 du RGPD c’est au responsable du traitement d’apporter la preuve du consentement.
Par conséquent, il doit être prouvé que l’utilisateur a consenti de manière valide et licite au traitement de ses données.
Or, le règlement ne précise pas comment la preuve peut être rapportée.
Par conséquent, la preuve peut être constituée par faisceau d’indice comprenant les documents de l’entreprise en termes de RGPD, l’horodatage de recueils des consentements.
Mais selon la CNIL 3 élément doivent être rapportés pour constituer une preuve :
- L’identité de l’utilisateur qui a consenti ;
- Le traitement auquel il a consenti ;
- Le moment où il a donné son consentement
FAQ
Qu’est-ce que le consentement selon le RGPD ?
Le consentement est une notion définie par l’article 4 du RGPD. Il se définit par la manifestation de la volonté d’une personne d’autoriser le traitement de ses données personnelles.
Le recueil du consentement est-il obligatoire ?
Le recueil du consentement est obligatoire lorsqu’il constitue la base légale du traitement des données personnelles. En effet, il existe plusieurs bases légales autorisant le traitement des données personnelles outre le consentement. Par ailleurs, le consentement est également requis lorsqu’il s’agit de données sensibles.
Comment recueillir le consentement en conformité avec le RGPD ?
Le RGPD impose plusieurs conditions afin que le consentement recueilli soit valide. Ainsi, celui-ci doit être univoque, libre, spécifique et éclairé. En effet, le consentement ne peut être contraint et plusieurs informations doivent être communiquées aux personnes concernées avant qu’elles ne donnent leur accord.
Dernière mise à jour le 20/03/2024