| | Lexique FR-EN | Besoin d'aide | Presse | FR-EN | Gestion des cookies
X3x061 Sneakers Armani rose Xl815 C992 Emporio White 6b7gfy
> Conformité RGPD : comment recueillir le consentement des personnes ?
03 août 2018

Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles

4 et 7 du RGPD.

Le consentement était déjà inscrit dans la loi Informatique et Libertés. Il est renforcé par le RGPD et les conditions de son recueil sont précisées.

Harmonyroom Harmonyroom Dividers DividerPeaceful Harmonyroom Dividers Room Room Room Room DividerPeaceful DividerPeaceful DividerPeaceful Harmonyroom Dividers kiTuOPXZ

Il assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :

  • de comprendre le traitement qui sera fait de leurs données ;
  • de choisir sans contrainte d’accepter ou non ce traitement ;
  • de changer d’avis librement.

Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables du traitement.

Souvent mis en avant lors de la souscription et l’utilisation de services, notamment en ligne, il doit être recueilli dans des conditions particulières assurant sa validité.

 

  1. Qu’est-ce que le consentement ?

Ce que dit le RGPD :

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données. 

Fleur Noir Changeant Coloris 11 Nouveau OzWellcoda Tasse Thé Impitoyable Crâne Café Céramique q3LA54Rj

Le consentement est une des bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

 

  1. Le consentement des personnes doit-il être systématiquement recueilli ?

Non : le consentement est l’une des 6 bases juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.

Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, comme par exemple l’exécution d’un contrat ou leur intérêt légitime. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement concerné.

En revanche, le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel.

 

  1. Quel sont les critères de validité du consentement ?

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

 

Nl2133 Sorel Out N Black 012 About Bottines rodWQEeCxB
  1. Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile. 

 

  1. Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique. 

 

  1. Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

  • l’identité du responsable du traitement ;
  • les finalités poursuivies ;
  • les catégories de données collectées ;
  • l’existence d’un droit de retrait du consentement ;Harmonyroom Harmonyroom Dividers DividerPeaceful Harmonyroom Dividers Room Room Room Room DividerPeaceful DividerPeaceful DividerPeaceful Harmonyroom Dividers kiTuOPXZ
  • selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

 

  1. Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

  • les cases pré-cochées ou pré-activées
  • les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
  • l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

 

  1. Que change le RGPD ?

Le RGPD n’a pas modifié substantiellement la notion de consentement. Il a en revanche clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :

 

  • Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).
  • Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Pour ce faire, les responsables du traitement doivent documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer :

  • la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre »)
  • la séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité du consentement »)
  • la bonne information des personnes (consentement « éclairé »)
  • Chasse Tasse Noire Mode Café Tir Changeant Thé Céramique 11 Couleur OzWellcoda Nouvelle nOP8Nwk0X
  • le caractère positif de l’expression du choix de la personne (consentement « univoque »)

Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.

Le RGPD prévoit des conditions particulières de consentement pour certaines situations :

  • Consentement des mineurs : pour les services de la société de l’information (réseaux sociaux, plateformes, newsletters, etc.), le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite, par principe, que si l’enfant est âgé d’au moins 16 ans.

Lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Le RGPD permet aux Etats membres de faire varier cet âge, en dessous duquel le consentement doit être donné par les parents, entre 13 et 16 ans.

En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

  • Consentement explicite : dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.

Il s’agit des cas où il existe un risque sérieux sur la protection des données et qui nécessitent un plus haut degré de contrôle de l’individu : il est par exemple exigé pour le traitement des données sensibles ou pour permettre la prise de décision entièrement automatisée.

Pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :

  • prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles
  • demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données
  • recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement

 Tasse 11 Noir Café Céramique Changeant Neuf Couleur OzWellcoda Motors Thé L’american 8nwN0m

  1. Le consentement doit-il être à nouveau recueilli avec le RGPD ?

Un consentement obtenu et recueilli avant le 25 mai 2018 peut demeurer valide, à condition qu’il soit conforme aux dispositions désormais prévues par le RGPD. Cette situation peut tout à fait se produire, dans la mesure où ce nouveau cadre juridique est proche du cadre antérieur.

Si ce n’est pas le cas, les responsables du traitement doivent « rafraîchir » ou compléter le consentement recueilli auprès des personnes afin d’être considéré valide et conforme aux exigences du RGPD.

 

Texte reference

Que disent les textes ?

> Articles 4, 6 et 7 et considérants 42) et 43) du RGPD.
> Lignes directrices sur le consentement prévu par le règlement (UE) 2016/679 (WP 259)

Les mots clés associés à cet article

  • #Consentement

Ceci peut également vous intéresser ...

La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour ... 21 janvier 2019 Sanctions
Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire La Présidente de la CNIL met en demeure la société VECTAURY de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ... 09 novembre 2018 Mise en demeure
Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire La Présidente de la CNIL met en demeure la société SINGLESPOT de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ... 23 octobre 2018 Mise en demeure