« DIS OUIIIIIIII s’il te plait !! »
Le consentement
Depuis l’entrée en application du RGPD le 25 mai 2018, le mot consentement est sur toutes les lèvres, du chef d’entreprise au consommateur que nous sommes tous en fin de compte. Nul n’a échappé à cette avalanche de mails expliquant que dans votre intérêt, mais surtout dans l’intérêt de l’entreprise, il est indispensable de consentir à recevoir tout type de courriels. En réalité, le consentement, ce n’est pas uniquement cela. Je dis souvent que le consentement c’est comme une demande en mariage. La différence étant que le consentement permet de sélectionner les choses qui nous intéressent et de refuser celles qui ne nous intéressent pas, mais aussi de divorcer autant de fois que souhaité, sans que cela n’ait le moindre impact sur notre vie.
Le consentement préalable de la personne concernée est l’une des conditions de licéité d’un traitement de données à caractère personnel (RGPD, article 6, paragraphe 1, a). La place que lui accorde le RGPD est essentielle et pour preuve, le terme « consentement » y est cité pas moins de 68 fois.
Attention ! Pour que ce « sésame » soit valable et incontestable, il doit être obtenu à l’issue d’un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. Autrement dit, le proverbe « qui ne dit mot consent » ne fonctionne pas en matière de RGPD.
Comment un consentement peut-il être obtenu ?
Le considérant 32 du règlement est très clair à ce sujet et laisse plusieurs possibilités pour obtenir ce dernier. La personne concernée peut exprimer son consentement
- par le biais d’une déclaration écrite au format papier ou par voie électronique ;
- ou encore par le biais d’une déclaration orale;
- Autre possibilité, une case à cocher lors de la consultation d’un site internet indiquant clairement que la personne concernée accepte certains paramètres techniques et le traitement en conséquence de ses données à caractère personnel.
Attention ! Il ne saurait y avoir un consentement valable de la personne concernée en cas de silence de sa part, de case cochée par défaut ou d’inactivité.
Le consentement donné par l’utilisateur est valable pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devra être donné pour chacune d’entre elles.
Notons que les finalités pour lesquelles sont collectées les données doivent être énoncées de manière spécifique, c’est-à-dire : détaillées et précises, non évasives, ni équivoques.
A retenir
Il est important de garder une trace des consentements obtenus pour pouvoir réagir efficacement en cas de contestation.
Pour conclure, il n’est plus question de mentionner des finalités trop génériques ou englobantes, le risque étant que l’autorité de contrôle considère le consentement ainsi obtenu comme étant vicié par le caractère trop vague ou générique des objectifs poursuivis.
De plus, l’engagement pris vis-à-vis de la personne concernée dont vous avez obtenu les données à caractère personnel doit être respecté, au risque, dans le cas inverse, de ternir votre image de marque et d’impacter la confiance de vos utilisateurs.
Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Vous êtes une PME et souhaitez une mise en conformité au RGPD ? Contactez-nous, nos experts en protection des données personnelles se feront un plaisir de répondre à vos demandes.