Comment recueillir le consentement des personnes ?

Le RGPD n’a pas modifié substantiellement la notion de consentement. Il a en revanche clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :

Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).

Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Consentement des mineurs : pour les services de la société de l’information (réseaux sociaux, plateformes, newsletters, etc.), le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite, par principe, que si l’enfant est âgé d’au moins 16 ans.

En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Consentement explicite : dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.

Le consentement des personnes doit-il être systématiquement recueilli ?

Non : le consentement est l’une des 6 bases juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.

Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, comme par exemple l’exécution d’un contrat ou leur intérêt légitime. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement concerné.

En revanche, le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel.

 

Quel sont les critères de validité du consentement ?

Quatre critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Le consentement doit-il être à nouveau recueilli avec le RGPD ?

Un consentement obtenu et recueilli avant le 25 mai 2018 peut demeurer valide, à condition qu’il soit conforme aux dispositions désormais prévues par le RGPD. Cette situation peut tout à fait se produire, dans la mesure où ce nouveau cadre juridique est proche du cadre antérieur.

Si ce n’est pas le cas, les responsables du traitement doivent « rafraîchir » ou compléter le consentement recueilli auprès des personnes afin d’être considéré valide et conforme aux exigences du RGPD.

 

Source : SITE DE LA CNIL : https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

Nous contacter : contact@odpo.fr

2019-08-26T08:46:49+00:00lundi 26 août 2019|CNIL, DPO, Juridique, RGPD, Sécurité|