RGPD : Comment recueillir le consentement ?

Le règlement général de protection des données (RGPD) est un texte de loi voté par le parlement européen et qui responsabilise les services d’administration publics et privés qui collectent et traitent des données à caractère personnel. Il précise désormais que les données génétiques et biométriques sont également des données « sensibles » ou « particulières ». Leur traitement est en principe interdit. Toutefois, il définit les conditions dans lesquelles, par dérogation, le traitement des données particulières est possible. Au nombre de ces conditions permettant le traitement des données personnelles, figure le fait que « le propriétaire des données en question a donné son « consentement explicite » ». Comment dès lors recueillir ce consentement ?

La notion de consentement

Le RGPD défini en son article 4, paragraphe 11, le Consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données dont elle est propriétaire fassent matière d’un traitement ». La notion de « consentement » n’est pas une disposition nouvelle dans le domaine de protection des données dites personnelles. Déjà la Loi 1978 en avait parlé. Le nouveau règlement ne vient que mieux la définir et préciser certains aspects permettant aux personnes concernées un  contrôle réel et effectif sur le traitement de leurs données personnelles. En bref, le consentement est l’une des bases légales prévues par ce nouveau règlement permettant par exception le traitement de données personnelles.

Faut-il automatiquement recueillir le consentement des personnes ?

Le RGPD établi le consentement comme l’une des six bases juridiques permettant de traiter des données à caractère personnel,  D’autres éléments permettent par conséquent le traitement, par exception, des données personnelles. Néanmoins, pour certains traitements encadrés par des dispositions légales spécifiques comme lors de la prospection commerciale par courriel, le consentement est systématiquement obligatoire.

Les critères de validité du consentement

Afin que le consentement soit valablement recueilli, le règlement prévoit 4 critères. Ces derniers sont cumulatifs. Ainsi, le règlement précise que le recueil du consentement doit être :

  • Libre : la personne concernée ne doit pas être contrainte de donner son consentement. Elle doit se sentir libre dans son choix sans avoir, en cas de refus, à subir des conséquences négatives. Ce critère est surtout très important lors de l’élaboration d’un contrat notamment pour la prestation d’un service.
  • Spécifique : il faut autant de consentements qu’il y a de traitements. La personne concernée doit pouvoir choisir librement la finalité pour laquelle elle consent pour le traitement de ses données personnelles.
  • Eclairé : toute personne morale ou physique officiant comme responsable chargé du traitement et qui envisage de recueillir le consentement d’un tiers, doit au préalable fournir à ce dernier, un certain nombre d’informations. C’est une obligation pour que le consentement du tiers soit valide.
  • Univoque : le consentement doit être recueilli au moyen d’une déclaration ou tout autre acte sans aucune forme d’ambiguïté.

Le RGPD et le consentement

Le règlement en clarifiant la définition du « consentement » et en le renforçant, l’a assorti de certains droits et garanties dont :

  • Le droit au retrait : au moyen de la modalité simple et équivalente à celle qui a servi à faire le recueil du consentement, la personne concernée a la possibilité de retirer à tout moment son consentement.
  • La preuve du consentement RGPD : à tout moment, la personne ayant la charge le traitement, doit être capable de démontrer que le propriétaire des données a effectivement consenti dans les conditions valides. Il doit donc documenter les conditions de recueil du consentement. C’est sur lui que repose la charge de la preuve
  • Consentement des mineurs : par principe, le traitement des données d’un enfant présentes sur les plateformes en ligne (réseaux sociaux, newsletters, …) fondé sur le consentement n’est légal sous réserve, que si cet enfant est âgé d’au moins 16 ans. En France, l’âge minimum pour le consentement est fixé à 15 ans.
  • Consentement explicite : particulièrement, il existe des cas où le consentement doit être explicite. Cette exigence se rapporte à la modalité d’expression du consentement.

Le responsable de traitement

Les responsables de traitement sont toutes les personnes physiques travaillant pour une société publique ou privée qui traite des données qui appartiennent à des tiers dans l’intérêt d’une autre société publique ou privée ou pour son propre intérêt. Ces structures sont notamment :

  • des fournisseurs de services informatiques (maintenance, hébergement, …),
  • des sociétés de sécurité informatique,
  • des intégrateurs de logiciels,
  • des agences de communication ou de marketing qui traitent des données appartenant à des tiers dans l’intérêt de leurs clients.
  • des sociétés de services et d’ingénierie en informatique (SSII) devenus des entreprises de service du numérique qui ont accès aux données personnelles.

Les personnes chargées de traiter les données sont tenues de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leurs activités et qui sont prévues par le règlement. Dès la conception du produit ou du service, ils se doivent de prendre en réelle considération la protection des données à caractère personnel auxquelles ils auront accès. Aussi se doivent-ils de recueillir préalablement a la collecte et au traitement le consentement des personnes concernées. Ceux qui travaillent pour des sociétés ou clients, ont également une obligation de conseil auprès de leurs clients. Parfois il est nécessaire qu’ils collaborent avec un représentant qui a la charge de protéger les données. Ce dernier est à la fois juriste, pédagogue, porte-parole et informaticien. Le recueil du consentement met le responsable de traitement à l’abri de poursuites pénales.

Que devient un consentement recueilli avant l’entrée en vigueur du RGPD ?

Le règlement général de traitement personnel des données est entré en vigueur le 25 mai 2018. Avant cette date, tous les consentements recueillis restent valides à condition qu’ils soient en conformité avec toutes les dispositions prévues par le règlement. Ces cas peuvent s’expliquer par le fait que le consentement RGPD est dans un cadre similaire à celui prévu par la précédente Loi. Dans le cas contraire, les responsables du traitement ont l’obligation de mettre à jour le consentement recueilli auprès des personnes concernées afin de le rendre conforme aux exigences du nouveau règlement.

Articles liés à ce sujet :