Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
Accès client
illustration recherche
Comment pouvons-nous vous aider aujourd’hui ?

Recherchez parmi nos prestations, articles, guides...

  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. Comment obtenir et récolter le consentement RGPD ?

Comment obtenir et récolter le consentement RGPD ?

Me Sarah Benhammou
Me Sarah Benhammou Avocate, spécialisée en RGPD et droit des contrats Relu par Clémence Bonnet, Diplômée de l'École des Avocats
Lecture : 5 min
Le consentement des utilisateurs au traitement de leurs données personnelles, déjà inscrit dans la loi Informatique et Libertés de 1978, bénéficie depuis l’entrée en vigueur du règlement RGPD en 2018 d’une extension de sa définition. L’objectif de ce renforcement : permettre aux utilisateurs (d’une entreprise, d’un site Internet…), aux clients d’une entreprise et à toute personne communiquant à un tiers ses données personnelles, d’exercer un contrôle effectif sur le traitement de leurs données personnelles. Désormais, le consentement du propriétaire des données  doit être explicite. 

Pour les dirigeants, cela pose la question de la mise en conformité RGPD. D’autant que les risques de sanction en cas de non-respect du règlement RGPD ne sont pas à négliger.

Comment, dès lors, mettre en conformité son entreprise avec les règles de recueil de consentement posées par le règlement européen ? 

Maître Sarah Benhammou, avocate accompagnant les entreprises dans leur mise en conformité RGPD , vous aide à mieux comprendre ce sujet parfois complexe. 

 

SOMMAIRE :

  1. Qu’est-ce que le consentement au sens du règlement RGPD ? 
  2. Dans quels cas le consentement n’est-il pas obligatoirement recueilli ? 
  3. Quels sont les critères de validité du consentement ? 
  4. Quid des cas spécifiques de recueil de consentement : consentement des mineurs, cas de consentement explicite, données sensibles… ?
  5. Qu’en est-il de la preuve du consentement ? 

 

1/ Qu’est-ce que le consentement au sens du règlement RGPD ?

 

Le consentement au traitement des données personnelles est l’une des six bases légales de l’article 6 du Règlement Général 2016/679 relatif à la protection des données à caractère personnel (RGPD).

Selon le RGPD, le consentement des personnes au traitement de leurs données personnelles est constitué par « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (Art. 4.11 RGPD)..

Ce consentement s’impose comme base légale, notamment pour le traitement de données sensibles (données biométriques, raciales, ethniques, religieuses, politiques, de santé, etc.) et le traitement de données à des fins de prospection commerciale. 

Le règlement RGPD n’a pas réellement modifié la notion de consentement, déjà présente dans la loi Informatique et Libertés de 1978, mais il l’a renforcée. Il l’a, en outre, assortie d’un droit de retrait (l’utilisateur doit pouvoir retirer son consentement à tout moment) et d’une obligation, pour le responsable du traitement, de conserver la preuve du recueil de consentement. 

 

2/ Dans quels cas le consentement n'est-il pas obligatoirement recueilli ?

 

Le recueil du consentement n’est pas exigé dans toutes les situations.En effet, le consentement fait partie des 6 bases légales posées par le RGPD pour autoriser le traitement de données personnelles. Il est donc tout à fait possible pour un responsable du traitement, d’opérer un traitement des données en se basant sur l’une ou l’autre des 5 autres bases légales, à savoir :  
  • exécution d'un contrat (contrat de travail, de vente, de location...) ou de mesures précontractuelles telles qu’un devis ;
  • exécution d’une mission d’intérêt public ou relevant de l’autorité publique (police, administration fiscale…) ;
  • sauvegarde de la vie d’une personne (par exemple, en cas de catastrophe naturelle ou d’épidémie) ;
  • respect d’une obligation légale ou réglementaire qui incombe au responsable du traitement (par exemple, le recensement de la population par l’INSEE ou les déclarations comptables) ; 
  • réalisation de l’intérêt légitime poursuivi par le responsable du traitement (en matière de sécurité, par exemple), sauf si l’intérêt ou les droits et libertés fondamentaux de l’utilisateur prévalent. 

En dehors de ces cinq autres bases légales , le consentement de l’utilisateur au traitement de ses données reste obligatoire. 

 

3/ Quels sont les critères de validité du consentement ?

 

Nous l’avons vu, les critères de validité du consentement posés par l’article 4 du RGPD sont au nombre de quatre : il doit être libre, spécifique, éclairé et univoque. Ces critères sont cumulatifs. Voyons plus en détail ce qu’ils recouvrent : 
  • libre : cela signifie que le consentement ne peut être ni contraint ni influencé. L’utilisateur doit avoir le choix de consentir ou non, sans que son refus ne le pénalise ;
  • spécifique : cela signifie que le consentement doit correspondre à un seul traitement ayant une finalité unique et déterminée. Si le traitement a plusieurs finalités, l’utilisateur doit être en mesure de consentir pour chacune d’entre elles. Pour exemple, si vous avez un site de e-commerce et que vos clients ont donné leurs données à des fins de gestion de leurs commandes (ex : livraison d’un produit acheté sur le site), vous ne pouvez pas leur envoyer de newsletter ou de courriels de prospection commerciale, s’ils n’ont pas donné leur consentement spécifique à ce titre (ex : cocher une case : “ J’accepte de recevoir des informations commerciales de la part de votre entreprise”). 
  • éclairé : pour être valide, le consentement doit être précédé d’un certain nombre d’informations portées à l’utilisateur, afin qu’il puisse faire son choix en toute connaissance de cause, il doit notamment savoir à quelle(s) fin(s) vont être utilisées ses données, quels sont ses droits, quelles sont les mesures prises par l’entreprise pour protéger ses données etc.. Ces informations peuvent être indiquées pour exemple dans la politique de confidentialité d’un site de e-commerce ou par une clause spécifique dans un contrat de travail;
  • univoque : ce critère signifie que le consentement doit être donné par un acte positif clair et précis. Il ne doit pas être ambigu. 

Il revient donc au dirigeant d’entreprise de recueillir le consentement de l’utilisateur au traitement de ses données personnelles à chaque fois qu’il lui soumet, par exemple, un formulaire (inscription à un événement, téléchargement d’un document, formulaire de contact…). Tout formulaire doit comporter des cases à cocher, gage d’un consentement univoque. Ces cases ne peuvent pas être précochées : cela n’est pas suffisant pour recueillir le consentement de l’utilisateur et c’est notamment interdit.

 

4/ Quid des cas spécifiques de recueil de consentement : consentement des mineurs, cas de consentement explicite, données sensibles… ?

 

Le RGPD prévoit des cas spécifiques de recueil de consentement.  

 

Le consentement des mineurs

Selon le RGPD, le traitement des données personnelles d’un mineur n’est licite que si celui-ci est âgé d’au moins 16 ans. Ce principe vaut même si le mineur de moins de 16 ans a donné son consentement. 

Lorsque le mineur est âgé de moins de 16 ans, le traitement de ses données ne sera licite que si le consentement est donné par le titulaire de l’autorité parentale. Cependant, le RGPD laisse une certaine marge de manœuvre aux États membres en la matière. 

Ainsi, en France, l’âge à partir duquel un mineur peut consentir au traitement de ses données est de 15 ans. 

 

Le consentement explicite

Dans certaines situations, le consentement doit être explicite. Cela signifie que l’utilisateur doit exprimer son consentement de manière claire, ce qui suppose la mise en place d’un outil ad hoc par le responsable du traitement.

Ces situations sont celles dans lesquelles il existe un risque important sur la protection des données, ce qui nécessite un contrôle accru des données de l’utilisateur. Par exemple, le consentement explicite est exigé pour le traitement des données sensibles. 

Le responsable du traitement peut s’assurer du consentement explicite de l’utilisateur par plusieurs moyens. Il peut ainsi demander une déclaration écrite et signée de l’utilisateur, ou encore prévoir une case spécifique pour recueillir le consentement de l’utilisateur au traitement des données sensibles. 

 

Les données sensibles 

Les données sensibles sont une catégorie particulière des données personnelles. Le RGPD les définit ainsi dans son article 9 : 

“Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.“

Il est interdit de recueillir ou d’utiliser ces données, sauf dans les cas suivants :

  • l’utilisateur a donné son consentement exprès ;
  • les informations sont rendues publiques par l’utilisateur concerné ;
  • les informations sont nécessaires à la sauvegarde de la vie humaine ;
  • les informations concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale ;
  • l’utilisation de ces informations est justifiée par l'intérêt public et autorisée par la CNIL. 

 

5/ Qu’en est-il de la preuve du consentement ? 

 

Il revient au responsable du traitement d’apporter la preuve du consentement. A cet égard, il doit être capable de prouver que l’utilisateur a consenti, de manière valide, au traitement de ses données. Pour cela, il doit documenter les conditions de recueil du consentement. Il s’agit d’une étape importante pour toute entreprise souhaitant notamment documenter sa conformité RGPD

Le règlement RGPD ne précise pas comment cette preuve peut être rapportée. En pratique, le responsable du traitement peut tenir un registre des consentements, qui peut s’intégrer dans la documentation générale de l’entreprise. L’horodatage informatique du recueil du consentement (c'est-à-dire l’enregistrement de la date et de l’heure d'un événement) est également considéré comme un moyen valide d’établir une telle preuve.

Enfin, selon la CNIL, la preuve du consentement doit contenir ces trois éléments pour être valide :

  • l’identité de l’utilisateur qui a consenti ;
  • ce à quoi il a consenti ;
  • le moment où il a donné son consentement.

Bon à savoir : la réglementation en matière de consentement sur l’utilisation des cookies s’est renforcée depuis le 31 mars 2021. Il était d’usage auparavant de considérer que l’utilisateur avait consenti à l'utilisation de ces cookies dès lors qu’il poursuivait sa navigation sur le site après l’affichage d’un bandeau l’informant de l’utilisation de cookies. Désormais, l’affichage du bandeau “En poursuivant votre navigation, vous acceptez l’utilisation de cookies” n’est plus suffisant et les responsables de traitement doivent communiquer à l’utilisateur un certain nombre d’informations avant que celui-ci consente (ou non) à l’utilisation des cookies. Il doit notamment lui communiquer la liste des cookies utilisés sur le Site et indiquer à l’Utilisateur la possibilité de paramétrer ses choix sur chacun de ses cookies (pour exemple, consentir à la collecte d’un cookie mais en refuser un autre). Il est donc important de se mettre également en conformité avec cette nouvelle réglementation. 
Pour cela et pour l’ensemble de votre conformité RGPD, n’hésitez pas à faire appel à un avocat : ce professionnel du droit saura vous conseiller et vous accompagner dans la mise en place d’une politique de recueil du consentement des données.

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre
Besoin de sécuriser vos relations commerciales ?
J'échange avec un avocat
Me Sarah Benhammou
Ecrit par Me Sarah Benhammou

Avocate au Barreau de Paris, spécialisée en RGPD et droit des contrats, Me Sarah Benhammou intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques. En tant que DPO, elle assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté ainsi que le RGPD : audit, mise en conformité, tenue du registre de traitement, mise en conformité de site internet.

Relu par Clémence Bonnet

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?
Mentions légales conformes au RGPD : nos conseils
5 min
Mentions légales conformes au RGPD : nos conseils
Conformité avec le RGPD : 4 actions à mettre en place !
3 min
Conformité avec le RGPD : 4 actions à mettre en place !
RGPD et e-commerce : 4 actions concrètes à mener en 2024
4 min
RGPD et e-commerce : 4 actions concrètes à mener en 2024