Pour les dirigeants, cela pose la question de la mise en conformité RGPD. D’autant que les risques de sanction en cas de non-respect du règlement RGPD ne sont pas à négliger.
Comment, dès lors, mettre en conformité son entreprise avec les règles de recueil de consentement posées par le règlement européen ?
Maître Sarah Benhammou, avocate accompagnant les entreprises dans leur mise en conformité RGPD , vous aide à mieux comprendre ce sujet parfois complexe.
- Qu’est-ce que le consentement au sens du règlement RGPD ?
- Dans quels cas le consentement n'est-il pas obligatoirement recueilli ?
- Quels sont les critères de validité du consentement ?
- Quid des cas spécifiques de recueil de consentement : consentement des mineurs, cas de consentement explicite, données sensibles… ?
- Qu’en est-il de la preuve du consentement ?
Qu’est-ce que le consentement au sens du règlement RGPD ?
Le consentement au traitement des données personnelles est l’une des six bases légales de l’article 6 du Règlement Général 2016/679 relatif à la protection des données à caractère personnel (RGPD).
Selon le RGPD, le consentement des personnes au traitement de leurs données personnelles est constitué par « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (Art. 4.11 RGPD)..
Ce consentement s’impose comme base légale, notamment pour le traitement de données sensibles (données biométriques, raciales, ethniques, religieuses, politiques, de santé, etc.) et le traitement de données à des fins de prospection commerciale.
Le règlement RGPD n’a pas réellement modifié la notion de consentement, déjà présente dans la loi Informatique et Libertés de 1978, mais il l’a renforcée. Il l’a, en outre, assortie d’un droit de retrait (l’utilisateur doit pouvoir retirer son consentement à tout moment) et d’une obligation, pour le responsable du traitement, de conserver la preuve du recueil de consentement.
Dans quels cas le consentement n'est-il pas obligatoirement recueilli ?
Le recueil du consentement n’est pas exigé dans toutes les situations.En effet, le consentement fait partie des 6 bases légales posées par le RGPD pour autoriser le traitement de données personnelles. Il est donc tout à fait possible pour un responsable du traitement, d’opérer un traitement des données en se basant sur l’une ou l’autre des 5 autres bases légales, à savoir :
- exécution d'un contrat (contrat de travail, de vente, de location...) ou de mesures précontractuelles telles qu’un devis ;
- exécution d’une mission d’intérêt public ou relevant de l’autorité publique (police, administration fiscale…) ;
- sauvegarde de la vie d’une personne (par exemple, en cas de catastrophe naturelle ou d’épidémie) ;
- respect d’une obligation légale ou réglementaire qui incombe au responsable du traitement (par exemple, le recensement de la population par l’INSEE ou les déclarations comptables) ;
- réalisation de l’intérêt légitime poursuivi par le responsable du traitement (en matière de sécurité, par exemple), sauf si l’intérêt ou les droits et libertés fondamentaux de l’utilisateur prévalent.
En dehors de ces cinq autres bases légales , le consentement de l’utilisateur au traitement de ses données reste obligatoire.
Quels sont les critères de validité du consentement ?
Nous l’avons vu, les critères de validité du consentement posés par l’article 4 du RGPD sont au nombre de quatre : il doit être libre, spécifique, éclairé et univoque. Ces critères sont cumulatifs. Voyons plus en détail ce qu’ils recouvrent :
- libre : cela signifie que le consentement ne peut être ni contraint ni influencé. L’utilisateur doit avoir le choix de consentir ou non, sans que son refus ne le pénalise ;
- spécifique : cela signifie que le consentement doit correspondre à un seul traitement ayant une finalité unique et déterminée. Si le traitement a plusieurs finalités, l’utilisateur doit être en mesure de consentir pour chacune d’entre elles. Pour exemple, si vous avez un site de e-commerce et que vos clients ont donné leurs données à des fins de gestion de leurs commandes (ex : livraison d’un produit acheté sur le site), vous ne pouvez pas leur envoyer de newsletter ou de courriels de prospection commerciale, s’ils n’ont pas donné leur consentement spécifique à ce titre (ex : cocher une case : “ J’accepte de recevoir des informations commerciales de la part de votre entreprise”).
- éclairé : pour être valide, le consentement doit être précédé d’un certain nombre d’informations portées à l’utilisateur, afin qu’il puisse faire son choix en toute connaissance de cause, il doit notamment savoir à quelle(s) fin(s) vont être utilisées ses données, quels sont ses droits, quelles sont les mesures prises par l’entreprise pour protéger ses données etc.. Ces informations peuvent être indiquées pour exemple dans la politique de confidentialité d’un site de e-commerce ou par une clause spécifique dans un contrat de travail;
- univoque : ce critère signifie que le consentement doit être donné par un acte positif clair et précis. Il ne doit pas être ambigu.
Il revient donc au dirigeant d’entreprise de recueillir le consentement de l’utilisateur au traitement de ses données personnelles à chaque fois qu’il lui soumet, par exemple, un formulaire (inscription à un événement, téléchargement d’un document, formulaire de contact…). Tout formulaire doit comporter des cases à cocher, gage d’un consentement univoque. Ces cases ne peuvent pas être précochées : cela n’est pas suffisant pour recueillir le consentement de l’utilisateur et c’est notamment interdit.
Quid des cas spécifiques de recueil de consentement : consentement des mineurs, cas de consentement explicite, données sensibles… ?
Le RGPD prévoit des cas spécifiques de recueil de consentement.
Le consentement des mineurs
Selon le RGPD, le traitement des données personnelles d’un mineur n’est licite que si celui-ci est âgé d’au moins 16 ans. Ce principe vaut même si le mineur de moins de 16 ans a donné son consentement.
Lorsque le mineur est âgé de moins de 16 ans, le traitement de ses données ne sera licite que si le consentement est donné par le titulaire de l’autorité parentale. Cependant, le RGPD laisse une certaine marge de manœuvre aux États membres en la matière.
Ainsi, en France, l’âge à partir duquel un mineur peut consentir au traitement de ses données est de 15 ans.
Le consentement explicite
Dans certaines situations, le consentement doit être explicite. Cela signifie que l’utilisateur doit exprimer son consentement de manière claire, ce qui suppose la mise en place d’un outil ad hoc par le responsable du traitement.
Ces situations sont celles dans lesquelles il existe un risque important sur la protection des données, ce qui nécessite un contrôle accru des données de l’utilisateur. Par exemple, le consentement explicite est exigé pour le traitement des données sensibles.
Le responsable du traitement peut s’assurer du consentement explicite de l’utilisateur par plusieurs moyens. Il peut ainsi demander une déclaration écrite et signée de l’utilisateur, ou encore prévoir une case spécifique pour recueillir le consentement de l’utilisateur au traitement des données sensibles.
Les données sensibles
Les données sensibles sont une catégorie particulière des données personnelles. Le RGPD les définit ainsi dans son article 9 :
“Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.“
Il est interdit de recueillir ou d’utiliser ces données, sauf dans les cas suivants :
- l’utilisateur a donné son consentement exprès ;
- les informations sont rendues publiques par l’utilisateur concerné ;
- les informations sont nécessaires à la sauvegarde de la vie humaine ;
- les informations concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale ;
- l’utilisation de ces informations est justifiée par l'intérêt public et autorisée par la CNIL.
Qu’en est-il de la preuve du consentement ?
Il revient au responsable du traitement d’apporter la preuve du consentement. A cet égard, il doit être capable de prouver que l’utilisateur a consenti, de manière valide, au traitement de ses données. Pour cela, il doit documenter les conditions de recueil du consentement. Il s’agit d’une étape importante pour toute entreprise souhaitant notamment documenter sa conformité RGPD.
Le règlement RGPD ne précise pas comment cette preuve peut être rapportée. En pratique, le responsable du traitement peut tenir un registre des consentements, qui peut s’intégrer dans la documentation générale de l’entreprise. L’horodatage informatique du recueil du consentement (c'est-à-dire l’enregistrement de la date et de l’heure d'un événement) est également considéré comme un moyen valide d’établir une telle preuve.
Enfin, selon la CNIL, la preuve du consentement doit contenir ces trois éléments pour être valide :
- l’identité de l’utilisateur qui a consenti ;
- ce à quoi il a consenti ;
- le moment où il a donné son consentement.
Pour cela et pour l’ensemble de votre conformité RGPD, n’hésitez pas à faire appel à un avocat : ce professionnel du droit saura vous conseiller et vous accompagner dans la mise en place d’une politique de recueil du consentement des données.
Une question ? Laissez votre commentaire