Obtenir le consentement explicite selon le RGPD

Lors de la mise en vigueur du Règlement Général Européen sur la Protection des Données (RGPD), vous devrez obtenir le « consentement explicite » pour légitimer certains types de traitements de données.

Cela soulève deux questions : qu’est-ce que le consentement explicite et quand doit-on l’obtenir ?

Qu’est-ce que le consentement explicite ?

On peut voir le consentement explicite comme étant l’exigence de référence du RGPD.

Ce qui le différencie est qu’il doit être obtenu de façon à ne permettre aucune mauvaise interprétation. Cela signifie qu’il doit être donné via une déclaration claire – qu’elle soit écrite ou orale.

Une déclaration de consentement explicite doit également se reporter expressément à la partie du traitement qui nécessite le consentement explicite. Par exemple, comme le précise l’ICO (Information Commissioner’s Office) « la déclaration devrait spécifier la nature des données collectées, les détails de la décision automatisée et ses effets ou les détails des données à transférer ainsi que les risques du transfert ».

En dehors de cela, les exigences liées au consentement explicite sont les mêmes que celles précisées dans la définition du consentement selon le RGPD ci-dessous :

Toute indication spécifique, informée, offerte librement, et sans ambiguïté concernant le souhait de la personne concernée par laquelle il ou elle, via une déclaration ou une action positive claire, représente un accord à traiter ses données personnelles.

Cela signifie que le consentement doit être obtenu de manière plus explicite. L’ajout de la notion « action positive claire » est clé puisqu’elle invalide le consentement par refus, tel que les cases pré-cochées. Le RGPD apporte d’autres changements à la façon dont les organisations doivent obtenir le consentement. Le guide de l’ICO (Information Commissioner’s Office) explique que la demande de consentement doit être :

Dissociée
Assurez-vous que les demandes de consentement sont indépendantes des autres modalités et conditions. Le consentement ne devrait pas être une condition préalable à l’inscription à un service à moins que celui-ci ne soit nécessaire à la livraison du service.

Granulaire
Donnez une explication détaillée des options de consentement selon les différentes sortes de traitement lorsque cela est approprié.

Nommée
Précisez quelle organisation et tierces parties ont besoin de ce consentement – des catégories (même définies avec précision) de tierces parties ne sont pas acceptées par le RGPD.

Documentée
Conservez des registres afin de pouvoir démontrer ce pourquoi la personne a donné son consentement, y compris les informations qui leur ont été communiquées, ainsi que quand et comment elles l’ont donné.

Facile à retirer
Précisez aux personnes concernées qu’elles ont le droit de retirer leur consentement à tout moment et expliquez-leur comment le faire. Retirer son consentement doit être aussi simple que de le donner. Cela signifie que vous devrez mettre en place des mécanismes de retrait simples et efficaces.

Permettre une relation non déséquilibrée
Vérifiez qu’il n’y ait pas de déséquilibre dans la relation entre la personne concernée et le contrôleur des données (par exemple, entre un employeur et son employé ou un locataire et un bureau de logement).

 

Quand devez-vous obtenir le consentement explicite ?

Le consentement explicite sera nécessaire pour les organisations qui souhaitent légitimer l’utilisation de catégories de données spéciales (sensibles). Il peut également légitimer les processus de décision automatisés et les transferts internationaux d’organisations du secteur privé en l’absence de garanties adéquates.

Comme pour le consentement en général, vous n’avez pas besoin d’obtenir un consentement explicite s’il existe une raison légale à l’obtention des données. Vous pouvez traiter sans avoir obtenu de consentement dans les cas suivants :

  • Vous avez un contrat avec la personne concernée
  • Vous vous conformez à une obligation légale
  • Il y a un intérêt vital en jeu
  • Il s’agit des pouvoirs publics
  • Les intérêts sont légitimes

 

Apprenez-en plus sur le RGPD en suivant nos formations

La journée de formation certifiée d’introduction au Règlement Général Européen sur la Protection de Données d’IT Governance vous fournit une introduction détaillée au RGPD et vous aide à mieux comprendre les enjeux et obligations légales pour les entreprises européennes – et ce quelle que soit leur taille.

La formation est dispensée par un spécialiste de la protection des données et correspond aux besoins de managers impliqués dans la protection des données et de personnes souhaitant se lancer dans ce domaine.

En savoir plus sur nos formations certifiées d’introduction au Règlement Général Européen sur la Protection des Données >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.