Le consentement

expert conseil rgpd en protection de données

DIS OUIIIIIIII s’il te plait !! ‘Le consentement

Depuis l’entrée en application du RGPD le 25 mai dernier, le mot consentement est sur toutes les lèvres du chef d’entreprise au consommateur que nous sommes tous finalement. Personne n’a échappé à cette avalanche de mails qui vous expliquent que dans votre intérêt mais surtout dans l’intérêt de l’entreprise, il est indispensable de consentir à recevoir des courriels de tout type mais en réalité le consentement ce n’est pas uniquement cela. Je dis souvent que le consentement c’est comme une demande en mariage, à la différence, c’est que nous pouvons sélectionner les choses qui nous intéressent et divorcer autant de fois que nous voulons sans que cela n’ait le moindre impact sur notre vie

Le consentement préalable est l’une des conditions de licéité d’un traitement de données à caractère personnel (RGPD, article 6, paragraphe 1, a). La place que lui accorde le RGPD est essentielle. Le terme « consentement » y est cité pas moins de 68 fois dans un très grand nombre d’articles et de considérants.

Pour que votre « sésame » soit valable et incontestable, il doit être obtenu à l’issue d’un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. Autrement dit, le proverbe ‘qui ne dit mot consent’ ne fonctionne pas en matière de RGPD.

Comment un consentement peut-il être obtenu ?

Le considérant 32 du règlement général est très clair à ce sujet et laisse plusieurs possibilités pour obtenir ce dernier. Celui-ci peut se faire par le biais d’une déclaration écrite y compris par voie électronique ou d’une déclaration orale. Autre possibilité, une case à cocher lors de la consultation d’un site internet en optant pour certains paramètres techniques : des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement (??? je ne comprends pas le sens du mot comportement dans cette phase) indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il est important de rappeler qu’il ne saurait dès lors y avoir consentement en cas de silence, de case cochée par défaut ou d’inactivité.

Le consentement donné par l’utilisateur est valable pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devra être donné pour l’ensemble d’entre elles. Il est important de garder une trace des consentements obtenus qui pourrait servir en cas de contestation. Notons que les finalités, pour lesquelles sont collectées les données, doivent être énoncées de manière spécifique, c’est-à-dire : détaillées et précises, non évasives, ni équivoques.

 

Pour conclure, il n’est plus question de mentionner des finalités qui seraient trop génériques ou englobantes afin d’éviter tout risque auprès de l’autorité de contrôle (CNIL en France) qui considère le consentement comme trompé par le caractère trop vague ou générique des objectifs poursuivis.

De plus, le non-respect de l’engagement pris vis-à-vis de la personne dont vous avez obtenu les données à caractère personnel, doit être respecté, au risque, dans le cas inverse, de ternir votre image de marque et d’impacter la confiance qu’on en vous vos utilisateurs.

Cet article a été rédigé par Nour Habita www.nouvelhorizonconseil.com
Vous êtes une PME et souhaitez une mise en conformité au RGPD ? Contactez-nous, nos experts en protection des données personnelles se feront un plaisir de répondre à vos demandes.