La CNIL conseille sur les modalités de recueil de consentement

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Actualités CNIL du 3 août 2018, Conformité RGPD : comment recueillir le consentement des personnes ?

L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude.

Ce qu’il faut retenir : L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude. Si le RGPD prévoit qu’un consentement obtenu et recueilli avant son entrée en application peut demeurer valide, encore faut-il qu’il soit conforme aux dispositions désormais prévues par le RGPD à savoir un acte positif :

  • Libre ;
  • Éclairé ;
  • Spécifique ;
  • Univoque. 

Pour approfondir :

1. Si le RGPD n’est pas particulièrement bouleversant en matière de consentement, les dispositions qu’il contient complètent et précisent les modalités dans lesquelles un consentement doit être recueilli. Le texte prévoit également qu’un responsable de traitement doit toujours être en mesure de prouver le consentement qui lui a été donné.

2. Dès lors, beaucoup d’entreprises ont fait le constat, d’une part, que les données qu’elles détiennent n’ont pas toujours été précédées du consentement de la personne concernée, et, d’autre part, que lorsque le consentement a été recueilli, elles n’en ont pas gardé de preuve. En conséquence, toutes ont eu la crainte de perdre l’ensemble de leur base de données si elles devaient solliciter (à nouveau) le consentement des personnes concernées. En effet, d’après plusieurs études, une campagne de mailing ayant pour objet de solliciter un consentement ne ferait l’objet d’un taux de réussite que de 5 à 7 %.

3. Toutefois, il est important de rappeler qu’une nouvelle sollicitation des personnes concernées n’est à envisager que dans certains cas uniquement. Tout d’abord, toutes les données contenues dans les bases de données ne sont pas toutes soumises à l’obligation de détenir un consentement, celui-ci étant l’une des bases légales prévues par le RGPD. Les entreprises peuvent s’appuyer sur une autre base légale pour poursuivre leur traitement, comme par exemple exécution d’un contrat ou leurs intérêts légitimes.

4. De plus, même lorsque le consentement est obligatoire et qu’aucune autre base juridique ne peut être invoquée, il est important de distinguer plusieurs cas. En effet, le RGPD ne modifie pas les dispositions du code des postes et des communications électroniques encadrant la prospection par voie électronique. Même après l’entrée en application du RGPD, les entreprises peuvent continuer à traiter les données de leurs clients afin de leur envoyer des sollicitations commerciales dès lors que ces dernières concernent des produits ou services similaires à ceux ayant été consommés par leurs clients sans qu’il n’ait besoin d’un consentement spécifique.

5. Il est également important de rappeler que le consentement peut se manifester au travers du comportement de la personne concernée. À titre d’exemple, une base de données constituée uniquement à des fins d’envoi d’actualités/newsletters, ne devrait pas faire l’objet d’une campagne de recueil de consentement si l’ensemble des coordonnées des personnes figurant dans cette base a été communiqué par la personne concernée elle-même et à son initiative en s’inscrivant à la newsletter.

6. Pour tous les autres cas où le recueil de consentement doit être réalisé à nouveau ou mis à jour, les responsables de traitement de bonne foi ont du mal à interpréter les quatre critères cumulatifs que doit respecter le consentement. Dans son communiqué de presse, la CNIL a entendu les aider dans leur compréhension. À ce titre, la CNIL a précisé quels étaient les attentes pour respecter ces critères.

7. S’agissant du caractère libre du consentement, la CNIL précise que celui-ci ne doit ni être influencé, ni être contraint. Autrement dit, la personne concernée doit véritablement avoir un choix sans avoir à subir de conséquences négatives en cas de refus. La CNIL prend comme exemple le cas des opérateurs de téléphonie mobile et explique que dans ce contexte, le consentement est considéré comme libre si le refus du client n’impacte pas la fourniture du service de téléphonie mobile.

8. S’agissant du caractère spécifique, la CNIL précise qu’il faut comprendre que le consentement doit être spécifique à un traitement et à une finalité déterminée. Dès lors, si un traitement poursuit plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour chacune de ces finalités.

9. S’agissant du caractère éclairé, la CNIL indique que pour que le consentement soit valide, il doit être accompagné d’un certain nombre d’informations, et notamment : l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données puissent être utilisées dans le cas de décisions individuelles automatisées ou qu’elle feront l’objet d’un transfert vers un pays en dehors de l’Union européenne.

10. Enfin, s’agissant du caractère univoque du consentement, la CNIL rappelle ici que le consentement doit toujours être donné par un acte positif clair et qu’aucune ambiguïté ne doit subsister. Dès lors, les cases pré-cochées ou pré-activées ou encore les consentements « groupés » sont à bannir.

A rapprocher : Article 7 du Règlement Général sur la Protection des Données

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…