Comment valablement collecter le consentement d'une personne au traitement de ses données ?
Au sens du RGPD, qu'est-ce que le consentement ?
Le consentement désigne une des 6 bases légales permettant la mise en oeuvre d'un traitement de données personnelles.
Selon l'article 4(11) du RGPD, le consentement est défini comme : "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement."
💡 Pour faire simple : ce principe régit la façon dont un responsable de traitement peut demander l'autorisation à une personne pour utiliser ses données personnelles.
→ L'enjeu est de garantir aux personnes concernées un contrôle clair et informé sur l'utilisation de leurs données personnelles.
Comment collecter ce consentement ?
Collecter un consentement valable pour le traitement des données personnelles nécessite de respecter plusieurs critères stricts.
L'objectif est de s'assurer que ce consentement est libre, spécifique, éclairé et univoque, conformément à la définition donnée ci-dessus.
→ Voici les étapes et les bonnes pratiques pour collecter un consentement valide :
📣 Informer de manière claire et complète
Les personnes concernées doivent être pleinement informées des circonstances du traitement avant de donner leur consentement. Les informations à fournir incluent :
- L'identité du responsable du traitement. 🪪
- Les finalités spécifiques pour lesquelles les données seront traitées. 🎯
- Les types de données collectées. 🏷️
- Les droits des personnes concernées. 👥
- Les destinataires ou les catégories de destinataires des données. 📩
- La durée de conservation des données. ⏱️
- Le fait que le consentement peut être retiré à tout moment sans justification. 🛑
🎛️ Formuler des demandes de consentement spécifiques et granulaires
Le consentement doit être spécifique à chaque finalité de traitement.
Cela signifique que si vous avez plusieurs finalités, vous devez recueillir un consentement distinct pour chacune.
💡 Évitez les déclarations générales ou globales.
👍 Obtenir un acte positif clair
Le consentement doit être donné par un acte positif clair.
Cela signifie que la personne concernée doit effectuer une action affirmant son accord, telle que :
- Cocher une case (qui ne doit pas être pré-cochée !). ☑️
- Signer un formulaire. ✍️
- Cliquer sur un bouton "J'accepte" après avoir été clairement informée des termes. 🖱️
⛓️ Éviter la contrainte
Le consentement doit être donné librement, sans pression ni influence indue.
Les personnes concernées doivent donc avoir une véritable option de choisir sans subir de conséquence négative injustifiée si elles refusent.
🫷 Permettre le retrait facile du consentement
Les personnes concernées doivent pouvoir retirer leur consentement à tout moment, de manière aussi simple qu'il a été donné.
Vous devez pour cela leur fournir un moyen simple et direct pour le faire, tel qu'un lien de désinscription dans un email ou une option dans leur compte utilisateur.
📝 Documenter le consentement
Vous devez conserver des preuves que le consentement a été donné conformément aux exigences du RGPD. Celles-ci pourront vous être demandées en cas de contrôle, ou en cas d'exercice de droits par une personne concernée.
Ces preuves peuvent être, par exemple :
- Des enregistrements de la date et de l'heure du consentement. 📼
- Une copie de la déclaration ou du formulaire de consentement. 📚
- Les versions des informations fournies au moment du consentement. 📑
🚸 Adapter les consentements des mineurs
Pour les mineurs de moins de 16 ans (ou l'âge fixé par les États membres, qui peut être abaissé à 13 ans), le consentement doit être obtenu auprès des parents ou des titulaires de la responsabilité parentale.
🔧 Quelques exemples de moyens de collecte du consentement
- Formulaire d'inscription en ligne : Inclure une case à cocher non pré-cochée avec une déclaration claire telle que "Je consens à ce que mes données personnelles soient utilisées pour recevoir des newsletters de [Nom de l'entreprise]."
- Paramètres de confidentialité : Fournir des options détaillées dans les paramètres de compte utilisateur où chaque finalité de traitement est clairement décrite et peut être acceptée ou refusée séparément.
- Formulaires papier : Utiliser un langage clair et simple pour expliquer les finalités du traitement des données et inclure une signature de consentement.
💡 Collecter un consentement valable sous le RGPD nécessite d'informer les personnes de manière complète, d'obtenir un acte positif clair et non contraint de leur part, et de permettre un retrait facile du consentement. En suivant ces pratiques, les organisations peuvent s'assurer qu'elles respectent les exigences du RGPD et protègent les droits des personnes concernées.
_______________________________________
Article rédigé par Ninon MAIRE le 14/06/2024
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.