RGPD : Du recueil à la preuve du consentement

A l’heure du « Big Data » et de la collecte massive de données numériques, les fichiers clients constituent la nouvelle source de richesse des entreprises. Toutefois, le traitement de ces données dites « personnelles »  est strictement encadré, notamment grâce au consentement qui  permet aux personnes d’exercer un réel contrôle sur le traitement de leurs données. Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, est venu préciser les conditions d’obtention et de démonstration d’un consentement valable.

LES BONS REFLEXES POUR RECUEILLIR LE CONSENTEMENT

Par principe, le responsable de traitement ne peut collecter et utiliser des données à caractère personnel que si ce traitement est fondé sur une des bases juridiques énoncées à l‘article 6 du RGPD dont fait partie le consentement. Le traitement est donc jugé licite si la personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités[i]. Cette base légale du traitement est utilisée pour les prospects et les cookies.
L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »[ii]. Pour être valablement recueilli, le consentement doit donc être tout à la fois :

  • libre, c’est-à-dire dénué de toute contrainte ;
  • spécifique, c’est-à-dire donné pour une finalité déterminée ;
  • éclairé, c’est-à-dire accompagné d’un certain nombre d’informations ;
  • univoque, c’est-à-dire matérialisé par un acte positif clair.

Par conséquent, il est recommandé de recueillir le consentement en utilisant la technique de l’opt-in, qui se matérialise par des cases à cocher, tout en fournissant les informations suivantes à la personne concernée :

  • l’identité du responsable de traitement ;
  • les finalités poursuivies ;
  • les catégories de données collectées ;
  • les transferts hors UE le cas échéant.

Concernant les prospects professionnels (relation B to B), la Commission nationale de l’informatique et des libertés (Cnil) autorise la technique de l’opt-out par laquelle le consentement est donné de manière implicite jusqu’à ce que la personne démarchée s’y oppose, sous réserve que  l’objet de la sollicitation soit en lien avec la profession de la personne démarchée qui  doit avoir la possibilité de s’opposer facilement à ce traitement[iii].

LE DROIT DE RETIRER SON CONSENTEMENT

Par principe, la personne concernée doit avoir la possibilité de retirer son consentement à tout moment par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement[iv] et doit être informée du droit de retrait de son consentement avant qu’elle ne le donne. En pratique, un lien de désinscription au bas d’un e-mail sera considéré comme approprié pour un site web qui a recueilli le consentement au moyen d’un formulaire électronique.
Lorsque  le consentement est retiré, le responsable de traitement est tenu de supprimer les données collectées sur ce fondement si aucune autre base légale ne justifie leur conservation.

LA NECESSITE DE CONSERVER UNE PREUVE DU CONSENTEMENT

Dans les cas où le traitement repose sur le consentement, le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant[v].
La conformité à cette obligation peut s’avérer compliquée en pratique dans la mesure où le texte ne précise pas comment cette preuve peut être rapportée. Il paraît donc essentiel pour les professionnels de s’équiper d’un outil assurant la conservation et la traçabilité des éléments suivants :

  • le contenu et la date du consentement ;
  • le moyen utilisé pour donner le consentement ;
  • l’information communiquée au moment du consentement ;
  • la date d’un éventuel retrait du consentement.

Sur ce point, la Cnil a indiqué, en mars 2017, que « l’horodatage informatique de la manifestation de la volonté (par un clic ou un acte de navigation) et la mise en place d’une procédure de recueil du consentement, dûment documentée, doit pouvoir être considéré comme un moyen valable d’établir la preuve du consentement »[vi].
Enfin, la preuve du consentement doit être conservée tant que le traitement pour lequel le consentement a été recueilli perdure. La preuve doit ensuite être conservée pendant la durée de prescription légale soit la période pendant laquelle la responsabilité pénale ou civile du responsable de traitement est susceptible d’être engagée[vii].

QUID DU CONSENTEMENT RECUEILLI AVANT LE RGPD ?

Lorsque le traitement, déjà en cours à la date d’application du RGPD, est fondé sur le consentement, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont il a été donné est conforme aux dispositions du RGPD[viii] et notamment celles relatives à son obtention et à la conservation de la preuve.

 

Schéma: Les données et le consentement

Traitement des données: recueillir le consentement


[i] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 6.
[ii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 4.
[iii] Cnil, La prospection commerciale par courrier électronique, 28 décembre 2018 : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique.
[iv] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 7.
[v] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 7.
[vi] Commission nationale de l’informatique et des libertés, Consultation publique sur le règlement européen, mars 2017 : https://www.cnil.fr/sites/default/files/atoms/files/syntheseglobale_consultation-2.pdf.
[vii] Groupe de travail « Article G29 », Lignes directrices sur le consentement au sens du règlement 2016/679, 10 avril 2018 : https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf.
[viii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, considérant 171.