RGPD : Quand devez-vous obtenir le consentement ?

Selon le Règlement Général Européen sur la Protection des Données (RGPD), savoir comment et quand vous avez besoin du consentement peut s’avérer compliqué. Beaucoup de personnes pensent à tort que les organisations doivent obtenir le consentement afin de traiter les données personnelles, mais le consentement est un des six motifs légitimes de traitement des données et il est n’est conseillé de l’obtenir que lorsqu’aucun autre motif n’est applicable.

Les autres motifs légitimes sont :

Un contrat avec la personne : par exemple, pour fournir des biens ou services qu’elle a commandé ou pour remplir une obligation liée au contrat d’un employé.

Conformité avec une obligation légale : lorsque le traitement des données à des fins spécifiques est lié à une obligation légale.

Intérêt vital : par exemple, lorsque le traitement des données protège l’intégrité physique ou la vie d’une personne (qu’il s’agisse de la personne concernée ou d’une autre personne).

Mission d’ordre public : par exemple, afin de remplir des fonctions ou tâches officielles dans l’intérêt public. Cela couvre principalement les autorités publiques telles que les départements gouvernementaux, les écoles et autres institutions éducationnelles, les hôpitaux et la police.

Intérêt légitime : quand une organisation du secteur privée a une raison légitime (y compris le bénéfice commercial) de traiter les données personnelles sans consentement, sous réserve qu’elle ne prenne pas le pas de manière négative sur les droits et libertés des personnes.

 

Opt in vs opt out

Le RGPD répertorie les exigences spécifiques pour une demande de consentement légitime, et précise qu’il doit être donné via une action claire et affirmative. En d’autres termes, le mécanisme requiert une action délibérée d’ « opt-in » contrairement au mécanisme de case pré-cochée.

Bien que le RGPD n’interdise pas le consentement par « opt-out », l’ICO (Information Commissioner’s Office) précise que les options d’ « opt-out » « sont essentiellement similaires aux cases pré-cochées qui elles sont interdites ».

Voici des exemples de demande de consentement légitime :

  • Signer une déclaration de consentement sur formulaire papier ;
  • Cliquer sur un bouton d’ « opt-in » ou sur un lien en ligne ;
  • Sélectionner oui ou non (les deux options doivent être mises en évidence de façon égale) ;
  • Choisir des paramètres techniques ou des préférences de tableau de bord ;
  • Répondre à un email demandant le consentement ;
  • Répondre oui à une demande claire de consentement oral ;
  • Offrir des informations optionnelles pour des raisons particulières (telles que des champs de formulaire optionnels) et ;
  • Déposer une carte de visite dans une boite.

Cette liste n’est pas exhaustive, mais montre bien que la demande de consentement requiert une action positive claire de la part de l’individu. Les demandes de consentement ne doivent pas reposer simplement sur le silence, l’inactivité, un défaut de paramétrage ou profiter d’inattention ou d’inaction ou de biais par défaut.

 

Les difficultés liées au consentement

Grâce au RGPD, les individus ont plus de contrôle sur leurs données, ce qui signifie qu’il peut être dangereux et chronophage de compter sur le consentement.

Par exemple, si vous choisissez le consentement pour traiter des données personnelles et que vous souhaitez par la suite les utiliser à d’autres fins, vous devrez demander à nouveau le consentement de chaque personne concernée. Toute personne qui refuse de donner son consentement ou qui ne répond pas à la demande doit alors voir ses données supprimées de vos archives.

Les individus sont également libres de retirer leur consentement à tout moment, ce qui signifie que vous devrez effacer leurs données de leurs dossiers. Si vous ne le faites pas, votre organisation risque de faire face à des actions disciplinaires de la part de l’autorité de contrôle.

De plus, comme Rowenna Fielding l’écrit dans son blog, si une personne concernée retire son consentement et que vous réalisez ensuite que vous avez une obligation légale de continuer le traitement des données, vous vous retrouverez dans une situation sans issue. En effet, soit vous devrez enfreindre la loi sur la confidentialité en traitant les données après le retrait de consentement soit vous ne respecterez pas votre obligation légale de traiter les données.

 

Se préparer au RGPD

Apprenez-en plus sur le consentement selon le RGPD avec l’aide de nos experts. Ils vous expliqueront comment votre organisation peut mettre en place les mesures nécessaires avant le 25 mai 2018 durant nos formations d’introduction et de spécialisation au RGPD sur Lyon ou Paris.

 

Inscrivez-vous dès maintenant

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.