Les données personnelles jouent un rôle stratégique dans le développement des entreprises qui utilisent de nombreux formulaires pour les recueillir : création de compte, téléchargement de livre blanc, abonnement à des newsletters … C’est pour cette raison que chaque formulaire incluant un recueil de données et poursuivant certaines finalités (Ex : marketing) doit être assorti d’une demande de consentement.
Le consentement était déjà inscrit dans la Loi Informatique et Libertés mais pour mieux préserver les internautes contre les risques inhérents à un mauvais usage de leurs données, le RGPD est venu le renforcer. Cette base légale est une des plus utilisées, à tort ou à raison, c’est ce que nous allons découvrir.
Mais comment doit-on mettre en place un recueil de consentement pour qu’il soit valide aux yeux de la loi ?
Recueillir le consentement selon les dispositions du RGPD
Pour comprendre comment effectuer un recueil de consentement conjointement à un formulaire pour recueillir des données personnelles en toute légalité, il convient de se référer à la définition que le RGPD donne du consentement.
Il impose, en effet, 4 critères fondamentaux qui en assurent la validité.
Tout consentement doit être libre, spécifique, éclairé et univoque. Un formulaire de collecte doit, par conséquent, être construit de manière à tenir compte de tous ses critères, avec notamment :
- une case vide à cocher obligatoirement par l’internaute (opt-in), car selon cette modalité, l’internaute atteste qu’il accorde son consentement vraiment librement, tel que le prévoit la loi à l’Article 4 : « par une déclaration ou par un acte positif clair ». Cette condition exclut tout consentement obtenu par une case pré-cochée sur le formulaire ou par une option négative couramment source de méprise et de malentendus. Le caractère univoque d’un consentement vient aussi souligner le fait qu’il doit être obtenu sans aucune espèce d’ambiguïté.
- Plusieurs cases à cocher si le traitement des données poursuit plusieurs finalités. Chaque consentement est spécifique, en effet, et un internaute est libre de consentir à livrer ses données pour une finalité donnée, par exemple, souscrire à la newsletter de l’entreprise mais pas à celle de ses filiales et/ou partenaires.
- Un langage clair et facilement compréhensible par les internautes, qui doivent donner leur consentement de façon « éclairée ». Pour plus de lisibilité, il est recommandé de rédiger la mention suivant la case à cocher à la première personne : « Je souhaite recevoir… »
- Une mention obligatoire en bas de page, qui doit mentionner que les données personnelles ne peuvent être recueillies sans que leur propriétaire ne soit informé du traitement qui en sera fait, ainsi que de la possibilité de s’y opposer, voire de changer d’avis dans le temps ( droits des personnes concernées définis par les Articles 12 et 13 du RGPD).
Il est important de rappeler que la collecte de données personnelles est soumise au principe de minimisation qui stipule que toute entreprise ne peut demander que les données strictement utiles à la finalité du traitement qu’elle prévoit.
Garantir la transparence du traitement des données
Un formulaire à des fins de recueil de données personnelles soumis à consentement, ne peut être conforme aussi qu’en respectant les principes de transparence propres au RGPD. Ces principes prévoient qu’un internaute doit pouvoir clairement comprendre pourquoi ses données sont collectées, et de connaître le droit qui est le sien de s’y opposer ou même de changer d’avis dans le temps.
Sur tout formulaire de collecte de données devant être conforme aux dispositions du RGPD, ces informations sont portées à la connaissance de l’utilisateur via une mention d’information simple avec la possibilité, grâce à un lien, de consulter la page de politique de confidentialité dans son intégralité. Cette page doit mentionner toutes les informations relatives aux caractéristiques du traitement inhérent à la collecte de données.
Elle précise à minima :
- Le nom de l’organisme collecteur et les coordonnées complètes du responsable de traitement ;
- Les finalités poursuivies par le responsable de traitement ;
- La base légale retenue ;
- le caractère obligatoire ou facultatif du recueil de données ;
- la durée de conservation des données ;
- les destinataires ou catégories de destinataires ;
- les droits des personnes concernées et la possibilité d’introduire un recours auprès de la CNIL ;
Selon les cas, il peut être utile de mentionner certains points spécifiques. Ces cas concernent les données qui vont faire l’objet d‘un traitement automatisé, être mises à la disposition de partenaires commerciaux et le cas-échéant les sous-traitants, ou être transférées vers des pays hors de l’UE.
Un responsable de traitement est tenu également de conserver la preuve de tous les consentements obtenus, en associant le nom des personnes au contenu de leur consentement dans ses bases de données. En cas de contrôle de la CNIL, un responsable de traitement doit être en mesure de pouvoir produire 3 éléments : qui a consenti, quand, et à quoi.
Un diagnostic juridique permet d’auditer toutes les modalités entourant un recueil de consentement afin de garantir sa parfaite conformité au RGPD. Quelles données précises pouvez-vous collecter, selon le cas de figure, et quelles sont les informations qui doivent encadrer votre demande. Notre cabinet de conseil et nos DPO externalisés vous accompagnent dans cette démarche
