Quelles sont les exigences de consentement du RGPD ?

Le règlement général sur la protection des données (RGPD) est désormais le fondement de la législation sur la protection des données en ligne. Comme il régit toutes les données personnelles des citoyens de l’UE, le règlement ne s’applique pas uniquement aux organisations basées dans l’UE. En effet, tout site Web auquel un citoyen de l’UE peut potentiellement accéder est nécessaire pour répondre aux normes GDPR

C’est particulièrement pertinent pour les exigences de consentement du RGPD.

Le consentement est au cœur du RGPD. L’objectif principal du règlement est de donner aux citoyens de l’UE un plus grand pouvoir sur leurs données personnelles. Cela signifie savoir ce qui est collecté et pouvoir demander qu’il soit effacé.

Mais quelles sont les exigences initiales en matière de consentement? Et comment les rencontrer ?

Qu’est-ce qu’un consentement valide et actif?

Le consentement est un concept simple : vous devez demander la permission d’obtenir ou de collecter des données auprès d’une personne. En vertu de l’article 4 du RGPD, le consentement est défini comme suit :

« Par consentement de la personne concernée, on entend toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle elle accepte, par une déclaration ou par une action positive claire, le traitement des données à caractère personnel la concernant. »

Cela établit quelques principes fondamentaux :

  1. Le consentement doit être donné librement par la personne dont il s’agit de données.
  2. Le consentement ne peut être contraint ou trompeur – le sujet doit bien comprendre ce à quoi il consent.
  3. Le sujet doit consentir activement – c’est-à-dire que le consentement passif ou le consentement par silence, par lequel l’utilisation d’un site Web est considérée comme un consentement, n’est pas autorisé.

Si l’un de ces principes fondamentaux n’est pas respecté, le consentement n’est pas considéré comme valide. Cela expose les organisations à des amendes et à des pénalités importantes.

En effet, Google a violé les conditions de consentement. En conséquence, ils ont été frappés d’une amende de 50 millions d’euros. Les autorités françaises de protection des données ont déclaré que le mécanisme de consentement de Google n’était ni « informé » ni « sans ambiguïté » ou « spécifique ».

Quelles sont les conditions du consentement?

Le RGPD clarifie la définition du consentement, à l’article 7, en fournissant les conditions nécessaires au consentement (les zones en gras mettent en évidence les points clés) :

  1. Lorsque le traitement est fondé sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel.
  2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée d’une manière qui se distingue clairement des autres questions , sous une forme intelligible et facilement accessible, dans un langage clair et simple. Toute partie d’une telle déclaration qui constitue une infraction au présent règlement n’est pas contraignante.
  3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée en est informée. Il doit être aussi facile de se retirer que de donner son consentement.
  4. Lors de l’appréciation de la liberté du consentement, il est tenu le plus grand compte de la question de savoir si, entre autres, l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui ne sont pas nécessaires à l’exécution de ce contrat.

Ces clarifications ajoutent d’autres mises en garde aux critères de consentement du RGPD, à savoir :

  • Les gens peuvent retirer leur consentement à tout moment.
  • Le consentement doit être démontrable.
  • Il doit être clair à quoi une personne consent lorsque d’autres questions sont incluses.
  • Les contrats ne devraient contenir que le consentement pour la collecte de données pertinentes.

Cela permet au RGPD de rester conforme à d’autres législations de l’UE, telles que le droit à l’oubli.

Comment le consentement peut-il être donné librement?

Donner « librement » son consentement signifie le faire sans coercition. Cependant, le RGPD va plus loin. Le considérant 42 stipule que « le consentement ne devrait pas être considéré comme donné librement si la personne concernée n’a pas de choix véritable ou libre ou n’est pas en mesure de refuser ou de retirer son consentement sans préjudice ». Cette dernière disposition étend le consentement aux opérations dans lesquelles une perte financière importante empêche une personne de refuser.

En outre, ainsi que le mentionne le considérant 43, un consentement librement donné doit être donné pour chaque opération de traitement de données. Par exemple, utiliser une adresse e-mail pour le marketing et une adresse IP pour l’analyse Web. Ni l’un ni l’autre ne peut être encapsulé dans un consentement unique.

En quoi le consentement est-il spécifique et sans ambiguïté?

Le premier exemple met en évidence un autre aspect clé : la spécificité. Le consentement ne doit pas être plus large que nécessaire et doit expliquer chaque utilisation des données séparément.

Ainsi, l’utilisation des données à des fins de marketing doit être expliquée, suivie par l’analyse Web. Cela permet au propriétaire des données d’être pleinement informé des conséquences du consentement.

Le consentement ne peut pas non plus être sans ambiguïté, par exemple, « silence, cases pré-cochées ou inactivité ». Au lieu de cela, le consentement doit clairement indiquer l’acceptation des conditions par une personne concernée.

Comment le consentement est-il éclairé?

C’est l’un des pièges les plus courants des formulaires de consentement. Comme l’indique le RGPD, le consentement doit être rédigé sous « une forme intelligible et facilement accessible, en utilisant un langage clair et simple ». Cela signifie que les organisations ne peuvent pas habiller les formulaires de consentement dans un jargon technique ou juridique diffus et trompeur.

Tout le monde doit plutôt être en mesure de comprendre le formulaire de consentement, quelle que soit son expertise préalable.

Cela était particulièrement important dans l’affaire Google. En l’espèce, les autorités françaises ont contesté la dilution des informations sur les opérations de traitement pour la personnalisation des annonces. Ainsi, en l’absence d’informations adéquates, la personne concernée ne pourrait pas donner son consentement éclairé.

Conclusion

Le consentement aux données est naturellement complexe. En effet, un répondant sur cinq à une enquête a déclaré qu’une conformité complète au RGPD était « impossible ».

Ce n’est tout simplement pas le cas.

Rédigez plutôt vos formulaires de consentement dans un langage clair et facile à comprendre, dans lequel vous expliquez les données collectées et à quoi elles serviront – en délimitant clairement chaque utilisation. Ensuite, offrez aux personnes concernées la possibilité de retirer leur consentement.

Pour de plus amples renseignements, veuillez consulter le règlement de 88 pages lui-même .

Sources:

https://gdpr.eu/what-does-it-stand-for/
https://gdpr.eu/gdpr-consent-requirements/
https://www.gdpreu.org/the-regulation/key-concepts/consent/

Sales & Support