Comment obtenir et récolter le consentement RGPD ?

par
5
Obtenir un devis de Me Benhammou

Sommaire

Le consentement des utilisateurs au traitement de leurs données personnelles, déjà inscrit dans la loi Informatique et Libertés de 1978, bénéficie depuis l’entrée en vigueur du règlement RGPD en 2018 d’une extension de sa définition. L’objectif de ce renforcement : permettre aux utilisateurs (d’une entreprise, d’un site Internet…), aux clients d’une entreprise et à toute personne communiquant à un tiers ses données personnelles, d’exercer un contrôle effectif sur le traitement de leurs données personnelles. Désormais, le consentement du propriétaire des données  doit être explicite. 

Pour les dirigeants, cela pose la question de la mise en conformité RGPD. D’autant que les risques de sanction en cas de non-respect du règlement RGPD ne sont pas à négliger.

Comment, dès lors, mettre en conformité son entreprise avec les règles de recueil de consentement posées par le règlement européen ? 

Maître Sarah Benhammou, avocate accompagnant les entreprises dans leur mise en conformité RGPD , vous aide à mieux comprendre ce sujet parfois complexe. 

 

1/ Qu’est-ce que le consentement au sens du règlement RGPD ?

 

Le consentement au traitement des données personnelles est l’une des six bases légales de l’article 6 du Règlement Général 2016/679 relatif à la protection des données à caractère personnel (RGPD).

Selon le RGPD, le consentement des personnes au traitement de leurs données personnelles est constitué par « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (Art. 4.11 RGPD)..

Ce consentement s’impose comme base légale, notamment pour le traitement de données sensibles (données biométriques, raciales, ethniques, religieuses, politiques, de santé, etc.) et le traitement de données à des fins de prospection commerciale. 

Le règlement RGPD n’a pas réellement modifié la notion de consentement, déjà présente dans la loi Informatique et Libertés de 1978, mais il l’a renforcée. Il l’a, en outre, assortie d’un droit de retrait (l’utilisateur doit pouvoir retirer son consentement à tout moment) et d’une obligation, pour le responsable du traitement, de conserver la preuve du recueil de consentement. 

 

2/ Dans quels cas le consentement n'est-il pas obligatoirement recueilli ?

 

Le recueil du consentement n’est pas exigé dans toutes les situations.En effet, le consentement fait partie des 6 bases légales posées par le RGPD pour autoriser le traitement de données personnelles. Il est donc tout à fait possible pour un responsable du traitement, d’opérer un traitement des données en se basant sur l’une ou l’autre des 5 autres bases légales, à savoir :  
  • exécution d'un contrat (contrat de travail, de vente, de location...) ou de mesures précontractuelles telles qu’un devis ;
  • exécution d’une mission d’intérêt public ou relevant de l’autorité publique (police, administration fiscale…) ;
  • sauvegarde de la vie d’une personne (par exemple, en cas de catastrophe naturelle ou d’épidémie) ;
  • respect d’une obligation légale ou réglementaire qui incombe au responsable du traitement (par exemple, le recensement de la population par l’INSEE ou les déclarations comptables) ; 
  • réalisation de l’intérêt légitime poursuivi par le responsable du traitement (en matière de sécurité, par exemple), sauf si l’intérêt ou les droits et libertés fondamentaux de l’utilisateur prévalent. 

En dehors de ces cinq autres bases légales , le consentement de l’utilisateur au traitement de ses données reste obligatoire. 

 

3/ Quels sont les critères de validité du consentement ?

 

Nous l’avons vu, les critères de validité du consentement posés par l’article 4 du RGPD sont au nombre de quatre : il doit être libre, spécifique, éclairé et univoque. Ces critères sont cumulatifs. Voyons plus en détail ce qu’ils recouvrent : 
  • libre : cela signifie que le consentement ne peut être ni contraint ni influencé. L’utilisateur doit avoir le choix de consentir ou non, sans que son refus ne le pénalise ;
  • spécifique : cela signifie que le consentement doit correspondre à un seul traitement ayant une finalité unique et déterminée. Si le traitement a plusieurs finalités, l’utilisateur doit être en mesure de consentir pour chacune d’entre elles. Pour exemple, si vous avez un site de e-commerce et que vos clients ont donné leurs données à des fins de gestion de leurs commandes (ex : livraison d’un produit acheté sur le site), vous ne pouvez pas leur envoyer de newsletter ou de courriels de prospection commerciale, s’ils n’ont pas donné leur consentement spécifique à ce titre (ex : cocher une case : “ J’accepte de recevoir des informations commerciales de la part de votre entreprise”). 
  • éclairé : pour être valide, le consentement doit être précédé d’un certain nombre d’informations portées à l’utilisateur, afin qu’il puisse faire son choix en toute connaissance de cause, il doit notamment savoir à quelle(s) fin(s) vont être utilisées ses données, quels sont ses droits, quelles sont les mesures prises par l’entreprise pour protéger ses données etc.. Ces informations peuvent être indiquées pour exemple dans la politique de confidentialité d’un site de e-commerce ou par une clause spécifique dans un contrat de travail;
  • univoque : ce critère signifie que le consentement doit être donné par un acte positif clair et précis. Il ne doit pas être ambigu. 

Il revient donc au dirigeant d’entreprise de recueillir le consentement de l’utilisateur au traitement de ses données personnelles à chaque fois qu’il lui soumet, par exemple, un formulaire (inscription à un événement, téléchargement d’un document, formulaire de contact…). Tout formulaire doit comporter des cases à cocher, gage d’un consentement univoque. Ces cases ne peuvent pas être précochées : cela n’est pas suffisant pour recueillir le consentement de l’utilisateur et c’est notamment interdit.

4/ Quid des cas spécifiques de recueil de consentement : consentement des mineurs, cas de consentement explicite, données sensibles… ?

 

Le RGPD prévoit des cas spécifiques de recueil de consentement.  

Le consentement des mineurs

Selon le RGPD, le traitement des données personnelles d’un mineur n’est licite que si celui-ci est âgé d’au moins 16 ans. Ce principe vaut même si le mineur de moins de 16 ans a donné son consentement. 

Lorsque le mineur est âgé de moins de 16 ans, le traitement de ses données ne sera licite que si le consentement est donné par le titulaire de l’autorité parentale. Cependant, le RGPD laisse une certaine marge de manœuvre aux États membres en la matière. 

Ainsi, en France, l’âge à partir duquel un mineur peut consentir au traitement de ses données est de 15 ans. 

Le consentement explicite

Dans certaines situations, le consentement doit être explicite. Cela signifie que l’utilisateur doit exprimer son consentement de manière claire, ce qui suppose la mise en place d’un outil ad hoc par le responsable du traitement.

Ces situations sont celles dans lesquelles il existe un risque important sur la protection des données, ce qui nécessite un contrôle accru des données de l’utilisateur. Par exemple, le consentement explicite est exigé pour le traitement des données sensibles. 

Le responsable du traitement peut s’assurer du consentement explicite de l’utilisateur par plusieurs moyens. Il peut ainsi demander une déclaration écrite et signée de l’utilisateur, ou encore prévoir une case spécifique pour recueillir le consentement de l’utilisateur au traitement des données sensibles. 

Les données sensibles 

Les données sensibles sont une catégorie particulière des données personnelles. Le RGPD les définit ainsi dans son article 9 : 

“Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.“

Il est interdit de recueillir ou d’utiliser ces données, sauf dans les cas suivants :

  • l’utilisateur a donné son consentement exprès ;
  • les informations sont rendues publiques par l’utilisateur concerné ;
  • les informations sont nécessaires à la sauvegarde de la vie humaine ;
  • les informations concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale ;
  • l’utilisation de ces informations est justifiée par l'intérêt public et autorisée par la CNIL. 
  •  

5/ Qu’en est-il de la preuve du consentement ? 

 

Il revient au responsable du traitement d’apporter la preuve du consentement. A cet égard, il doit être capable de prouver que l’utilisateur a consenti, de manière valide, au traitement de ses données. Pour cela, il doit documenter les conditions de recueil du consentement. Il s’agit d’une étape importante pour toute entreprise souhaitant notamment documenter sa conformité RGPD

Le règlement RGPD ne précise pas comment cette preuve peut être rapportée. En pratique, le responsable du traitement peut tenir un registre des consentements, qui peut s’intégrer dans la documentation générale de l’entreprise. L’horodatage informatique du recueil du consentement (c'est-à-dire l’enregistrement de la date et de l’heure d'un événement) est également considéré comme un moyen valide d’établir une telle preuve.

Enfin, selon la CNIL, la preuve du consentement doit contenir ces trois éléments pour être valide :

  • l’identité de l’utilisateur qui a consenti ;
  • ce à quoi il a consenti ;
  • le moment où il a donné son consentement.
Bon à savoir : la réglementation en matière de consentement sur l’utilisation des cookies s’est renforcée depuis le 31 mars 2021. Il était d’usage auparavant de considérer que l’utilisateur avait consenti à l'utilisation de ces cookies dès lors qu’il poursuivait sa navigation sur le site après l’affichage d’un bandeau l’informant de l’utilisation de cookies. Désormais, l’affichage du bandeau “En poursuivant votre navigation, vous acceptez l’utilisation de cookies” n’est plus suffisant et les responsables de traitement doivent communiquer à l’utilisateur un certain nombre d’informations avant que celui-ci consente (ou non) à l’utilisation des cookies. Il doit notamment lui communiquer la liste des cookies utilisés sur le Site et indiquer à l’Utilisateur la possibilité de paramétrer ses choix sur chacun de ses cookies (pour exemple, consentir à la collecte d’un cookie mais en refuser un autre). Il est donc important de se mettre également en conformité avec cette nouvelle réglementation. 
Pour cela et pour l’ensemble de votre conformité RGPD, n’hésitez pas à faire appel à un avocat : ce professionnel du droit saura vous conseiller et vous accompagner dans la mise en place d’une politique de recueil du consentement des données.
Me Sarah Benhammou

Écrit par

Me Sarah Benhammou

Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier