Le RGPD fêtant ses 2 ans d’entrée en vigueur aujourd’hui nous vous proposons de revenir sur l’un de ses concepts phares en 5 étapes : le consentement

Le consentement fait partie des 6 bases de licéité d’un traitement de données personnelles posées dans le Règlement Général de Protection de Données (RGPD). Il est l’élément qui va conditionner la légalité du traitement mis en œuvre. La conformité de son recueil est donc primordiale pour être conforme à la législation en vigueur. Un mauvais recueil provoque un consentement vicié et donc un traitement illicite.

Le consentement assure aux personnes concernées un contrôle fort sur leurs données. Il leur permet de :

  • comprendre le traitement qui sera fait de leurs données ;
  • choisir sans contrainte d’accepter ou non ce traitement ;
  • changer d’avis librement.

Dans le RGPD, les modalités de validité du consentement sont plutôt bien décrites. Pour être valide, le consentement recueilli doit être libre, spécifique, univoque, éclairé et clair. Nous allons donc vous présenter 5 étapes afin de vous accompagner dans la rédaction d’un recueil du consentement RGPD conforme aux exigences légales.

Deux bulles de discussion. Une avec une crois pour non et une avec un V pour oui

Étape 1 d’un consentement RGPD conforme : la présence d’une case à cocher

Le consentement de la personne ne doit être ni contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de défaut. Elle doit donc pouvoir refuser le traitement de ses données personnelles qui n’est pas nécessaire à l’exécution du service auquel elle veut avoir accès.

Cette condition du consentement se traduit le plus souvent par une acceptation au traitement de données soumise à une case à cocher, un  toggle ou des boutons « J’accepte » / « Je refuse ». Cette acceptation s’ajoute au bouton permettant à la personne concernée de souscrire à l’offre qui l’intéresse.

Si le traitement de données personnelles est strictement nécessaire pour que la personne puisse accéder au service auquel elle souscrit, cette case à cocher peut être obligatoire. Dans le cas contraire elle devra être facultative.

Par exemple, elle doit pouvoir refuser de consentir à un abonnement newsletter entraînant un traitement de ses données personnelles et toujours pouvoir accéder au service principal de l’entité. 

Dans tous les cas, la personne concernée doit être en capacité de retirer son consentement au traitement de ses données à tout moment. Par exemple, à l’aide d’un lien de désinscription.

Étape 2 : une case à cocher par activité de traitement

Le consentement doit correspondre à un seul traitement pour une finalité spécifique. Si un traitement poursuit plusieurs finalités, la personne doit pouvoir consentir indépendamment pour l’un et/ou l’autre des finalités. Il n’est donc pas possible de recueillir des consentements groupés.

Ainsi, il doit y avoir autant de case à cocher que de finalités auxquelles la personne concernée consent en souscrivant à l’offre de service.

Si vous vous rendez compte par ce biais qu’un seul formulaire poursuit un grand nombre de finalités, il est possible que votre parcours utilisateur ne soit pas optimisé correctement et donc que le recueil du consentement de la personne ne soit pas fait au bon moment.

Par exemple en même temps que la personne créé un espace personnel sur une plateforme, elle devrait obligatoirement accepter le traitement de ses données personnelles nécessaire pour créer son espace, les CGU de la plateforme. Elle pourrait facultativement accepter le traitement de ses données dans le cadre d’une newsletter. 

Étape 3 : une case décochée par défaut

Le consentement doit être donné par une déclaration ou tout acte positif clair. Il ne doit demeurer aucune ambiguïté quant à l’expression du consentement.  L’inaction ne vaut donc pas consentement (consentement par le silence).

En ce sens, il n’est pas possible de pré-cocher les cases recueillant le consentement, c’est à la personne concernée de le faire.

Étape 4 : les informations préalables au consentement RGPD conforme

Pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations. Ces dernières doivent être communiquées à la personne avant qu’elle n’accepte quoi que ce soit. C’est le droit à l’information des personnes concernées par un traitement de données personnelles. Elle doit être informée de :

  • l’identité du responsable de traitement
  • les finalités poursuivies
  • les catégories de données collectées
  • les destinataires de ces données
  • si elles font l’objet d’un transfert hors UE
  • si ces informations seront utilisées pour prendre des décisions individuelles automatisées
  • l’existence du droit de retrait du consentement, des autres droits liés et leurs modalités d’exécution

Ces informations pouvant donner lieu à de longues explications, il est toléré de les découper en 2 niveaux :

  • Le 1° niveau d’information doit ainsi mentionner l’identité du responsable de traitement, ses finalités ainsi que la possibilité de retirer son consentement. il doit également mentionner comment obtenir le 2° niveau d’informations.
  • Le 2° niveau d’information doit regrouper l’ensemble des mentions listées précédemment. Il doit être rapidement et facilement accessible pour la personne concernée.

Étape 5 : des informations claires pour un consentement RGPD conforme

Il est intéressant de remarquer que la CNIL ne reprend pas ce point dans sa fiche pratique de recueil de consentement conforme au RGPD. Il s’agit bien là pourtant du nerf de la guerre. En effet, il est possible de remplir tous les autres points et que pourtant les informations ne soient pas faciles à comprendre pour la personne dont on a recueilli le consentement.

Ainsi tenter de se protéger par des phrases très longues et très juridiques serait contre-productif. De plus, cela vous donnerait une mauvaise image pour le client, qui aurait l’impression que vous cherchez à le berner. Préférez donc les phrases courtes et simples. 

En suivant ces différentes étapes, vous obtiendrez ainsi un recueil du consentement RGPD conforme. 🙂

Pour toute question, vous pouvez également contacter DPO Seraphin ou vous rendre sur nos réseaux sociaux !