RGPD : Les conditions applicables au consentement et ses exceptions

Le consentement est l’une des six bases légales prévues par le Règlement Général sur la Protection des Données personnelles (RGPD) ; c'était justement tout l'objet d'un précédent article de blog. Il est important de préciser que le consentement était déjà inscrit dans la loi Informatique et Libertés de 1978. Le RGPD est simplement venu renforcer ce consentement ainsi que ses conditions de validité. [1]

Comprendre le consentement

L’article 4 du RGPD définit le consentement comme étant : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. ».

Dit autrement, pour qu’un consentement soit considéré comme valide, ce dernier doit répondre à 4 critères cumulatifs :

• Le consentement doit être libre, donné sans contrainte ni influence. Cela signifie que le choix de la personne concernée (que cette dernière accepte ou non le traitement de ses données personnelles) ne peut pas avoir d’incidence sur la relation qu'elle entretien avec l'entreprise.
  

• Le consentement doit être spécifique. Cela signifie qu'il est nécessaire de demander un consentement pour une finalité bien précise. Ainsi, il n'est pas possible de demander un consentement unique pour une multitude de finalités de traitement. Dès lors qu’il y a plusieurs finalités de traitements, plusieurs consentements doivent être demandés pour chacun des traitements. Ainsi la personne concernée doit pouvoir consentir à certains traitements de données, et en refuser d'autres très simplement.
  

• Le consentement doit être éclairée, c'est-à-dire qu'il doit être accompagné d’une série d’informations (servant de preuves de transparence) telles que : l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement. Il est également nécessaire de préciser si les données personnelles sont utilisées dans le cadre de décisions individuelles automatisées, ou si elles font l’objet d’un transfert vers un pays hors Union européenne.
  

• Et enfin, le consentement doit être univoque : aucun consentement tacite ou passif n'est admis. Le consentement de la personne concernée doit être signifiée par un acte positif réalisée par la personne concernée (elle a cliqué sur un lien, cocher une case décochée, etc. pour signifier son consentement).

Toute modification des conditions de la mise en œuvre d’un traitement de données peut avoir une incidence sur la validité du consentement, obligeant le responsable de traitement à le demander de nouveau.

Le consentement voulu par le RGPD doit ainsi permettre aux personnes concernées de comprendre au mieux l'utilisation qui sera faite de leurs données, de choisir sans contrainte, d’accepter ou non un traitement de données, ainsi que de changer d’avis librement.

Quelques exemples de situations nécessitant un consentement

Il est nécessaire de rappeler que le consentement est l'une des sux bases légales permettant de justifier un traitement de données : le consentement n'est pas nécessaire tout le temps et pour tous les traitements de données ! Dans le cas de la souscription à un service par exemple, la base légale n’est alors pas le consentement mais bel et bien l’exécution d’un contrat. Retrouvez plus de détails sur les six bases légales permettant de justifier un traitement de données juste ici.

D'autres démarches en revanche nécessite le consentement à tous les coups :

Tout ce qui concerne le démarchage commercial par exemple, nécessite le consentement des personnes concernées. L'article l.34-5 du code des postes et des communications électroniques impose l'obtention d'un consentement préalable à toute prospection automatisée par courriel, lorsqu’il s’agit de clients BtoC. Avec une exception cependant pour tout ce qui concerne le démarchage de personnes déjà clientes, et lorsqu'il s'agit de leur proposer des produits ou services analogues. Cependant, et même dans ce cadre là, l'entreprise doit malgré tout permettre à la personne concernée de s'opposer facilement à ces sollicitations (avec un lien à cliquer, des préférences à modifier, un message à envoyer, etc.).

En ce qui concerne la prospection commerciale en BtoB, le consentement n’est pas requis. Cependant, il est tout de même nécessaire d'informer les personnes concernées de l'utilisation qui est faite de leurs données personnelles, et de leur permettre de s’opposer de manière simple et gratuite à tout démarchage commercial !

Les traçeurs et cookies en ligne sont également un paramètre nécessitant le consentement de la personne concernée ! Les traçeurs et cookies sont des outils qui permettent de suivre les interactions des internautes sur notre site : depuis l'identification de l'internaute, jusqu'au suivi de ces déplacements sur les pages du site. Ces suivis posent problème en terme de protection de la vie privée, c'est pourquoi l'article 82 de la loi Informatique et Libertés impose le recueil du consentement des personnes personnes concernées. Les seuls cookies non-concernés par le recueil du consentement sont les cookies fonctionnels, absolument indispensables au bon fonctionnement d'un site internet. Cependant, lorsque votre site utilise des cookies de mesure d'audience ou des cookies marketing, ces derniers doivent obligatoirement obtenir le consentement des personnes concernées pour se charger !

Certains outils de mesure d'audience ont cependant été développés pour permettre de suivre ces statistiques de mesure d'audience de manière 100% anonyme (aucun cookies d'analyse n'est alors déposé), permettant ainsi aux éditeurs de site internet d'obtenir des informations concernant le comportement des internautes sur le site, mais sans avoir à demander de consentement aux personnes concernées (puisque ces derniers ne sont alors plus identifiables, il ne s'agit ainsi plus de données personnelles !). C'est le cas de l'outil Beyable Analytics par exemple.

La cession d'un droit à l'image, l'abonnement à une newsletter, etc. sont autant de cas de figures dans lesquels le recueil du consentement est obligatoire.

Garder une preuve du consentement

Le responsable de traitement doit être en mesure de fournir les preuves de consentement des personnes concernées par les traitements de données réalisés. Ce dernier doit pouvoir démontrer que le consentement à bien répondu à chacune des conditions cumulatives exigées par l’article 4 du RGPD (à savoir qu'il était libre, spécifique, éclairé et univoque).

Par exemple, dans le cadre d'un abonnement à une newsletter :

• les personnes concernées par les traitements de données réalisés doivent être informées des finalités des traitements de données ainsi que de la nature des données traitées. Cette information est réalisée grâce à un texte d'information mis en évidence auprès de la personne concernées (consentement éclairé).
  

• L'abonnement à une newsletter ne doit pas être une contrainte (cela n'est pas obligatoire, la personne concernées peut également avoir signé un contrat avec l'entreprise et refuser d'être abonnée à la newsletter (consentement libre).
  

• La personne concernée donne son accord pour recevoir la newsletter présentée (et non pas la potentielle newsletter qui sera créé l'an prochain) (consentement spécifique).
  

• La personne concernée donne son consentement via une action positive délibérée : elle a cochée une case (décochée par défaut) dans le formulaire de contact, et à ensuite validé son abonnement en cliquant sur un lien reçu par email (consentement univoque).

Le responsable de traitement doit ainsi pouvoir prouver que les mécanismes de recueil du consentement respectent bien les exigences du RGPD, et il doit être en mesure de tracer les consentements recueillis. Il est tout à fait possible pour le responsable de traitement de tenir un registre des consentements regroupant les divers consentements recueillis. pour les demandes d'abonnement à une newsletter,

Il est nécessaire de conserver les choix de consentement des internautes pendant la durée de navigation du site sous les recommandations de la CNIL. En revanche, il est difficile de garder une preuve du consentement lié aux cookies d'analyse ou marketing.

Pour donner un exemple, les entreprises font souvent appel à des tiers (parfois non-conformes vis-à-vis du RGPD), et malgré la présence d’une clause dans les CGV ou les CGU qui engage l’une des parties à recueillir un consentement valable pour le compte de l’autre partie, cette clause est insuffisante pour la CNIL. Cette dernière doit être complétée afin de préciser que le tiers qui recueille le consentement doit également mettre à disposition de l’autre partie la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état. Or dans les faits, c’est très difficile à mettre en place.

Une demande de consentement claire, compréhensible, et aisément accessible

Le second paragraphe de l’article 7 du RGPD vient préciser que pour chaque demande de consentement, et dans le cas de figure où une seule déclaration écrite engloberait plusieurs traitements de données aux finalités différents, il faut alors demander un consentement pour chacun des traitements de données et de manière distincte.

Attention, lors du recueil d'un consentement à l'aide d'une case à cocher, il est interdit de laisser cette case cochée par défaut (sinon le consentement ne serait plus univoque) et il est également interdit de paramétrer cette case comme obligatoire (sinon le consentement ne serait plus libre). Ainsi, l’absence de réponse ne peut certainement pas être considérée comme l'expression d'un consentement.

Le RGPD vient également insister, au travers de cet article 7, qu’un consentement ne peut pas être subordonné à un contrat ou à des conditions générales d’utilisation. Si une subordination existe, cela présumera que le critère de liberté n’a pas été respecté. [2]

Cette question du recueil du consentement, abordée dans la loi Informatique et Libertés, a non seulement été renforcée grâce au RGPD, mais elle vient également soutenir les principes de loyauté et de transparence voulus par le RGPD.

Retirer son consentement

« Il doit être aussi simple de retirer son consentement que de le donner » [3].

Il est important de comprendre que le consentement d’une personne concernée est une décision réversible. La personne concernée est libre de donner son consentement et de le retirer à tout moment, et de de manière facile, rapide et sans contrainte. Il convient de bien comprendre que si la personne concernée retire son consentement, la licéité du traitement n’est pas invalidée pour autant par ce retrait. Si jamais, il est difficile pour une personen concernée de retirer son consentement, alors cela signifie que le consentement n’est pas la base légale appropriée.

Par exemple, pour le retrait du droit à l’image, il faut prévoir la faisabilité et les conséquences d’un retrait de consentement. Une fois que la personne concernée à retiré son consentement pour l'utilisation de ses images, les images concernées ne seront alors plus ré-utilisées dans la future, mais qu’en est-il des images qui ont déjà été utilisées ? Ainsi, retirer son consentement n'est pas quelque chose de rétroactif : les données concernées ne seront plus utilisées dans l'avenir, mais les utilisations qui ont été faites de ces données, lors du consentement, ne peuvent pas être défaites !

Les exceptions particulières du consentement

Selon l’article 8 du RGPD « Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si et dans la mesure où le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. ». Ainsi, un mineur peut donner son consentement pour le traitement de ses données personnelles que s'il est âgé d'au moins 16 ans. L'article 8 vise tout particulièrement les réseaux sociaux, les applications et les sites web.

Le RGPD a donné la possibilité aux États membres de prévoir un âge inférieur pour le recueil du consentement des mineurs : 13 ans. En France, l’âge retenu est de 15 ans pour les mineurs. Cela signifie qu'à partir de 15 ans, les mineurs peuvent consentir eux-mêmes au traitement de leurs données personnelles (en s'abonnant à une newsletter, en créant un compte sur les réseaux sociaux, etc). En dessous de 15 ans, les responsables de traitement doivent obligatoirement recueillir le consentement conjoint de l’enfant et de la personne titulaire de l’autorité parentale. Ces dispositions ne portent pas atteinte au droit général des contrats : il faut être majeur pour pouvoir signer un contrat.

Cette exception sur la validité du consentement des enfants peut poser des problèmes car la validité de celui-ci peut varier d’un État à l’autre. En effet, l’harmonisation voulue au niveau européen est rendue difficile par la flexibilité accordée aux États membres. Ces derniers sont ainsi livres de choisir l’âge légal du consentement. Certaines contradictions peuvent également rendre difficile la réalisation efficace de ce recueil du consentement : que se passe-t-il si un parent est d'accord pour le traitement des données personnelles de son enfant et lorsque l'autre parent s'y oppose ?

On voit donc dans tous les différents aspects du consentement qu’il s’agit d’un axe important dans la mise en œuvre du RGPD, et dans certains cas, assurer le retrait du consentement n’est pas une mince affaire ! Le consentement est, une fois de plus, un concept qui est loin d’être nouveau. Et si ce dernier peut sembler basique, il nécessite malgré tout d’être gérer par des professionnels pour une application conforme et correcte des principes du RGPD.

Sources :

[1] "Le RGPD expliqué ligne par ligne (Articles 1 à 23)", Par Marc Rees, le mercredi 21 février 2018.

[2] Article 7 du RGPD. [3] "Conformité RGPD : comment recueillir le consentement des personnes ?", par la CNIL, le 3 août 2018.

Articles complémentaires :

• Le RGPD : objet et objectifs

• Le RGPD : qui est concerné ?

• Le RGPD et les principes relatifs au traitement de données à caractère personnel

• Licéité des traitements de données à caractère personnel : les différentes bases légales

• Registre des traitements de données : que dit la CNIL ?

• Conformité au RGPD et catégories de données à caractère personnel

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur nos prestations de DPO externalisé en temps partagé !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !