Le consentement, c’est un des piliers de la protection des données personnelles. Il n’y a rien de plus noble que d’obtenir l’accord expresse d’une personne pour collecter et utiliser ses données.
En effet, le RGPD (Règlement général sur la protection des données) pose le principe du consentement lors du recueil des données à caractère personnel. Il s’agit de l’une des six bases légales sur lesquelles tout traitement de données doit se fonder pour pouvoir être mis en œuvre. Concrètement, le traitement des données personnelles ne peut être licite que s’il respecte au moins l’une d’entre elles.
Ces bases légales sont listées à l’article 6 du RGPD, le consentement étant la première base citée : « la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
Pour savoir si ce consentement peut-être considéré comme valide, le RGPD en définit les conditions aux articles 4 et 7.
Qu’est-ce que le consentement au sens du RGPD? Quels sont les critères de validité du consentement ? Comment recueillir le consentement des personnes à la collecte et au traitement de leurs données personnelles ?
1 - RGPD : qu’est-ce que le consentement ?
La définition consentement au sens du RGPD
Le RGPD vient compléter et renforcer la notion de consentement déjà inscrite dans la loi Informatique et Libertés de 1978.
Le consentement est défini à l’article 4.11 du RGPD : « consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »;
Comme pour la définition retenue en droit des contrats, le consentement doit donc présenter plusieurs caractères (libre, spécifique, éclairée et univoque).
À l’inverse de l’allocution bien connue “qui ne dit mot consent”, si le consentement ne présente pas l’ensemble de ces caractères, il n’y a pas consentement. Donc “qui ne dit mot ne consent pas”.
Les critères de validité du consentement
Pour être valide, le consentement recueilli auprès des personnes concernées doit remplir 4 critères cumulatifs tels qu’inscrits dans l’article 4 du RGPD.
- Libre,
- Spécifique,
- Éclairé,
- Univoque
Si vous ne cochez pas toutes les cases : le consentement n’est pas valide.
Définition du consentement libre
Le consentement est libre si l’accord de la personne au traitement de ses données n’est ni contraint ni influencé. Les personnes concernées ne doivent pas subir de conséquence en cas de refus.
Par exemple, une entreprise prévoit de transmettre un fichier client avec leurs coordonnées à ses partenaires commerciaux à des fins de partenariats marketing et de prospection. Les clients doivent avoir donné leur accord au préalable. Si un client s’y refuse, il ne doit pas pouvoir être menacé de se trouver privé de la fourniture d’un service ou que ce refus impacte la qualité du service fourni.
🔎 La question s’est posée avec les « cookies walls » qui permet à l’éditeur d’un site web de demander une contrepartie à l’internaute qui refuse les cookies (par exemple sous forme monétaire, on appelle cela un « paywall »). Dans une décision du 29 juin 2020, le Conseil d’Etat considère que la liberté du consentement doit être appréciée en tenant compte de l’existence d’alternatives présentée à l’utilisateur.
Définition du consentement spécifique
La personne concernée doit donner son consentement pour :
✔️ Un traitement déterminé
✔️ Ayant une finalité donnée.
Que faire si le traitement de la donnée comporte plusieurs finalités distinctes ? Dans ce cas, la personne doit pouvoir :
- Toutes les refuser,
- Accepter seulement l’une d’elles et refuser les autres,
- Toutes les accepter.
Chacune des finalités demande le recueil du consentement de la personne concernée. On ne doit pas demander un accord « global » au traitement de données ayant des objectifs différents.
Par exemple, une agence de location de voiture recueille des données à caractère personnel pour valider la réservation de la voiture d’une part et alimenter son fichier client afin de transmettre par la suite des offres commerciales à son client d’autre part. Les deux finalités sont différentes et nécessitent que la personne concernée ait consenti à chacune spécifiquement.
Définition du consentement éclairé
La personne concernée doit avoir reçu suffisamment d’informations claires et intelligibles avant de consentir au recueil des ses données. Celles-ci sont transmises par le responsable de traitement de manière bien distinctes.
Quelles sont les informations que le responsable de traitement doit fournir ? Celles-ci sont listées à l’article 13 du RGPD, et parmi elles :
- L’identité et les coordonnées du ou des responsables de traitement et le cas échéant celles du Data Protrection Officer (DPO) ou délégué à la protection des données ;
- La ou les finalités poursuivies par le traitement de la donnée ;
- Les catégories de données collectées,
- La durée de conservation des données à caractère personnel ou, au moins, les critères déterminant cette durée,
- L’existence d’un droit d’accès aux données personnelles ainsi que la rectification ou l'effacement de celles-ci,
- L’existence du droit du retrait du consentement : il s’agit d’un nouveau droit conférer aux particuliers par l’article 7 du RGPD. La personne doit pouvoir retirer son consentement à tout moment, et aussi simplement qu’elle a donné son consentement.
- Le transfert des données en dehors de l’UE, notamment vers les Etats-Unis (le cas échéant).
Définition du consentement univoque
Le consentement doit être recueilli via un acte « positif clair» et/ou une déclaration. Il ne doit pouvoir demeurer aucune ambiguïté sur l’accord de la personne concernée.
Pour s’assurer que le consentement est univoque et explicite, le responsable de traitement peut mettre en place certaines bonnes pratiques :
✔️ Prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles,
✔️ Demander une déclaration écrite et signée par la personne concernée,
✔️ Demander que la personne concernée envoi un mail précisant son consentement expresse au traitement de ses données, etc.
En revanche, voici des pratiques à bannir car celles-ci ne respectent pas le principe de consentement équivoque :
❌ Proposer des cases pré-cochées ou pré-activées,
❌Considérer l’absence de réponse à un e-mail demandant le consentement comme un consentement (l’adage « qui ne dit mot consent » ne s’applique en aucun cas),
❌ Demander un consentement global pour un ou plusieurs traitements ayant des finalités différentes.
🔎 Distinguer Opt-in et Opt-out
- En BtoB, il est possible de recourir à l'opt-out : Il n’est pas nécessaire de recueillir le consentement du client, il doit simplement pouvoir s’opposer au traitement de ses données.
- En BtoC, il est obligatoire de recourir à l'opt-in : le principe du consentement équivoque ne souffre d’aucune exception face à des clients particuliers. ****Il est obligatoire de ****recueillir le consentement préalable ****des personnes concernées.
⚠️ En cas de manquement, le contrevenant s’expose à des sanctions pouvant être très lourdes:
- Sanctions pénales : jusqu’à 300 000€ d’amende (personne physique), 1,5 million d’€ (personne morale) et 5 ans de prison,
- Sanction administratives : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’année précédente.
RGPD : consentement et rôle du responsable de traitement
Cette disposition implique que les responsables de traitement ne peuvent procéder au traitement des données à caractère personnel qu’à condition :
- de recueillir préalablement le consentement des personnes concernées,
- de manière à en assurer la validité, c’est-à-dire de s’assurer que ce consentement soit libre, spécifique, éclairé et univoque.
⚠️ C’est au responsable de traitement de prouver que le consentement est valide et non à la personne concernée. La preuve du consentement est un nouveau droit introduit par l’article 7 du RGPD : « le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel le concernant ».
💡 L’article 4 du RGPD définit le «responsable du traitement» ainsi : Il s’agit de « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement »
2 - Bases légales du RGPD : l’importance du consentement
Le recueil du consentement : pas d’automaticité
Le recueil du consentement au recueil des données est-il une obligation systématique ? Non, il s’agit seulement de l’une des bases légales. Comme nous l’abordions en introduction, il suffit que l’une des bases légales soit respectée pour que le traitement des données soit valide.
Ces autres bases légales du RGPD sont :
- L’existence d’un contrat : le traitement des données est valide s’il est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
- L’obligation légale : le traitement est justifié s’il est imposé par des textes légaux ;
- L’intérêt public : le traitement est justifié par la nécessité d’exécuter une mission d’intérêt public ;
- L’intérêt légitime : le traitement est justifié car il est nécessaire à la poursuite d’intérêts légitimes de l’organisme traitant les données. A condition de respecter strictement les droits et intérêts des personnes concernées ;
- La sauvegarde des intérêts vitaux : le traitement est justifié car nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.
L’intérêt vital est utilisé pour des cas très spécifiques et l’intérêt public est le fondement du traitement de données pour l’exercice de mission de service public.
En dehors de ces cas, voici l’ordre dans lequel vous devez vous interroger :
- Ai-je une obligation légale à traiter ces données ? C’est le cas pour l’émission de bulletin de paie et de tous les documents comptables (factures, note de frais etc.). Si tel est le cas, la base légale est l’obligation légale.
- Suis-je lié par un contrat (à mon client, fournisseur, partenaire ou employé) ? C’est le cas d’un contrat de vente, contrat fournisseur, prestataire, contrat d’entreprise, contrat de travail. Si les données sont traitées pour l’exécution de ce contrat ou du futur contrat, la base légale sera le contrat.
- Si votre traitement n’entre dans aucune de ces catégories, vous devez vous interrogez sur la pertinence de recueil du consentement pour traiter ces informations ou si la collecte relève de l’intérêt légitime de l’entreprise.
Par exemple, en ce qui concerne les cookies ou traceurs des utilisateurs ou visiteurs de votre site web, la base légale doit obligatoirement être le consentement. Pour les données que vous traitez en interne, liées à l’organisation du travail ou les informations relatives à des prospects, l’intérêt légitime peut être plus pertinent.
⚠️ Traitement et finalités :
Si le traitement des données à caractère personnel poursuit plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités.
La CNIL considère qu’une seule base légale doit être choisie par finalité.
Par exemple :
- Si un contrat existe entre une entreprise et la personne concernée, nul besoin de recueillir en plus son consentement au recueil de ses données.
- En revanche, si aucune des 5 bases citées plus haut (contrat, intérêt légitime, obligation légale etc.) ne correspond à la finalité poursuivie, alors le traitement des données devra faire l’objet d’un consentement.
Consentement et données sensibles
S’il est nécessaire de s’interroger sur la pertinence du consentement pour traiter certaines données personnelles, le traitement de données sensibles n’est autorisé qu’à cette seule condition. Qu’appelle-t-on des données sensibles ?
L’article 9 du RGPD énonce les catégories de données considérées comme sensibles, il s’agit des données suivantes :
- Informations relatives à l’origine raciale ou ethnique,
- Informations relatives aux opinions politiques,
- Informations relatives aux convictions religieuses ou philosophiques,
- Informations relatives à l’appartenance syndicale,
- Informations relatives à la vie sexuelle ou orientation sexuelle,
- Données génétiques,
- Données biométriques (permettant l’identification d’une personne unique),
- Données de santé (y compris numéro de sécurité sociale).
Il convient d’ajouter les informations relatives aux condamnations pénales et infractions d’une personne qui bénéficient d’une protection similaire en vertu de l’article 10 RGPD.
L’article 9 RGPD prévoit que le traitement des données à caractère personnel sensibles est interdit.
Il s’agit toutefois d’une interdiction de principe. Le RGPD a défini des “cas d'autorisation de traitement” des données sensibles et notamment : le consentement de la personne concernée. En effet, n’est pas interdit le traitement de données personnelles sensibles pour lequel la personne concernée a consenti.
⚠️ Le recueil du consentement d’une personne au traitement de ses données sensibles fait l’objet d’une protection renforcée. Dans ce cas, il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée et de mettre en œuvre des traitements spécifiques et sécurisés comme la pseudonymisation et le cryptage.
💡 Pour tout savoir sur la gestion des données sensibles, consultez notre guide : Donnée sensible et RGPD.
Consentement des personnes mineures
Le traitement du consentement des personnes mineures fait l’objet de règles différentes.
En effet, le RGPD indique qu’en dessous de l’âge de 16 ans :
- Le traitement des données personnelles sur la base du consentement de l’enfant mineur ne peut pas être considéré comme valide.
- Pour pouvoir traiter ses données, le consentement doit être donné ou autorisé par la personne détenant l’autorité parentale.
Le RGPD autorise cependant les Etats-Membres à faire varier cet âge entre 13 et 16 ans. Ainsi, en France, les mineurs peuvent consentir eux-mêmes au traitement de leurs données personnelles à partir de l’âge de 15 ans. En dessous de cet âge, les parents doivent donner leur consentement en plus de celui de l’enfant mineur.
💡 Retrouvez la liste des sanctions infligées aux entreprises par les organismes de contrôle Européens (CNIL et homologues) : Les sanctions au RGPD.
🔎 Pour conclure, rappelez-vous que :
- En matière de consentement, deux nouveaux droits sont introduits à l’article 7 du RGPD : la charge de la preuve du consentement incombe au responsable de traitement et la personne doit pouvoir retirer simplement son consentement à tout moment.
- Le consentement doit respecter les 4 critères cumulatifs définis à l’article 4 du RGPD : être libre, spécifique, éclairé et univoque.
- Les données sensibles ne doivent en principe pas être collectées, il est possible toutefois de le faire à certaines conditions, dont le consentement de la personne concernée.
- Le recueil des données de personnes mineures de moins de 15 ans est interdit en France à moins d’obtenir également le consentement de l’autorité parentale.
Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.