- Le blog et les actualités de Witik
- Consentement et RGPD : règles et cas particuliers
Consentement et RGPD : règles et cas particuliers
Le RGPD fait du consentement un des piliers de ses grands principes. C’est déjà, en France, ce qui avait été défini par la loi Informatique et Liberté auparavant. Plus précisément, le consentement est une des raisons qui autorise une entreprise ou un organisme à mener une opération de collecte et de traitement des données. C’est pourquoi la gestion des consentements de vos utilisateurs est si importante.
Or, la notion de consentement telle qu’élaborée par le RGPD n’est pas si transparente. En pratique, le consentement doit répondre à un certain nombre de critères pour être valide et donc autoriser effectivement le traitement des données. Le RGPD établit aussi un certain nombre de cas dans lesquels le consentement s’accompagne de règles spécifiques pour renforcer la protection des utilisateurs (des mineurs, par exemple).
Il est donc nécessaire de se pencher plus précisément sur cette notion pour pouvoir mettre en place un système de recueil du consentement que le RGPD considérera conforme.
RGPD et consentement : que dit le texte sur cette notion ?
Commençons par la notion même de consentement au sens du RGPD. Le texte est relativement clair sur ce point, puisqu’il offre une définition du consentement :
“toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”
Si on décortique cette définition, on peut en tirer 4 critères qui vont déterminer la validité du consentement.
“Libre” : le RGPD utilise le terme dans sa définition du consentement. Ainsi, le refus de consentir à un traitement (par exemple, refuser l’activation d’un cookie sur un site internet) qui n’est pas nécessaire à la réalisation du service ne peut pas avoir de conséquence sur le service en question.
“Spécifique” : un consentement correspond à un traitement donné pour une finalité déterminée. Concrètement, cela signifie qu’une bannière de cookies ou un cookie wall, par exemple, devra proposer un choix pour chaque traitement et, pour un même traitement, pour chaque finalité poursuivie.
“Eclairé” : ce point renvoie à l’obligation d’information qui doit accompagner le recueil du consentement. Il s’agit par exemple de la finalité poursuivie par le traitement, de l’identité du responsable de traitement, du type de données collectées…
“Univoque” : le consentement doit être donné par une action dite positive, comme par exemple le fait de cliquer sur un bouton d’acceptation. Notamment, la seule poursuite de la navigation sur un site web ne vaut pas acceptation.
Le consentement est-il toujours obligatoire ?
Le consentement n’est pas forcément nécessaire. En réalité, le RGPD définit le consentement comme l’une des 6 bases légales qui autorisent la mise en oeuvre d’un traitement de données.
Parmi ces autres critères qui peuvent autoriser un traitement, on peut citer l’exécution du contrat ou encore l’intérêt légitime de l’acteur qui opère le traitement des données.
A noter : certains traitements doivent forcément s’appuyer sur la base légale du consentement. C’est le cas de la prospection commerciale par mail, par exemple.
RGPD et consentement : les cas particuliers
En plus des règles dont on a déjà parlé et qui encadrent le consentement, le RGPD prévoit des cas particuliers dans lesquels les règles sont plus strictes.
Deux cas principaux sont à retenir :
Consentement des mineurs
Ce cas particulier concerne ce qu’on appelle les services de la société de l’information. En d’autres termes, il s’agit de services digitaux comme une newsletter, l’accès à une plateforme web, un réseau social… Dans ce cas, le RGPD pose un principe selon lequel le consentement n’est licite que si le mineur est âgé de 16 ans au moins. Au-delà, le consentement doit être donné par le titulaire de la responsabilité parentale.
Cependant, le RGPD pour les sites web donne une certaine latitude aux Etats membres de l’UE pour faire varier cet âge entre 13 et 16 ans. En France, l’âge retenu est de 15 ans : en dessous, il est nécessaire de recueillir à la fois le consentement de l’enfant et celui du titulaire de la responsabilité parentale.
Consentement explicite dans certains cas
L’autre grand cas particulier prévu par le RGPD concernant le consentement ne repose pas sur l’identité de la personne concernée mais sur le type de donnée ou bien la nature du traitement opéré.
Concrètement, il s’agit des cas où le traitement fait peser un risque sérieux sur la protection des données personnelles. C’est le cas lorsque les données concernées sont dites sensibles au sens du RGPD.
Dans ces cas relativement rares, le consentement doit être explicite. Cela signifie que le consentement doit être donné séparément pour le traitement des données sensibles, ou bien que le consentement doit être fait en deux étapes et confirmé par la personne concernée (par email, par exemple).
Les règles qui encadrent le consentement dans le RGPD
Au-delà de ces cas spécifiques, le RGPD fixe des règles qui encadrent le recueil du consentement des utilisateurs.
D’abord, le RGPD impose un droit au retrait. En pratique, cela signifie qu’il doit toujours être possible pour un utilisateur de retirer son consentement. De plus, ce retrait doit reposer sur un mécanisme aussi simple que celui qui a permis le recueil du consentement. Il s’agit par exemple d’un centre des préférences dédié et facilement accessible sur le site web.
Ensuite, le responsable des traitements doit pouvoir apporter la preuve du consentement. Il doit ainsi construire une documentation RGPD spécifique qui doit démontrer non seulement que le consentement a bien été recueilli, mais aussi que les différents critères de validité du consentement qu’on a énumérés plus hauts ont bien été respectés.
Comment mettre en place le recueil du consentement sur mon site web ?
Le recueil du consentement doit se faire de façon conforme au RGPD. Pour cela, il est possible d’utiliser des outils pour automatiser ces démarches. C’est le cas notamment des bannières de cookies RGPD et des logiciels qui les gèrent. Attention, ces bannières sont plus ou moins rigoureuses dans leur conformité au RGPD et il convient d’être vigilant : la majorité des sites, souvent sans le savoir, ne sont pas totalement conformes au RGPD sur ce point !
Par exemple, Witik permet d’automatiser le recueil des consentements, de garantir la conformité de votre processus de recueil de consentement et de générer automatiquement la documentation exigée par la CNIL pour donner la preuve du consentement.