webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL conseille sur les modalités de recueil de consentement

Actualités CNIL du 3 août 2018, Conformité RGPD : comment recueillir le consentement des personnes ?

L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude.



Ce qu’il faut retenir : L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude. Si le RGPD prévoit qu’un consentement obtenu et recueilli avant son entrée en application peut demeurer valide, encore faut-il qu’il soit conforme aux dispositions désormais prévues par le RGPD à savoir un acte positif :

  • Libre ;
  • Éclairé ;
  • Spécifique ;
  • Univoque. 

Pour approfondir :

1. Si le RGPD n’est pas particulièrement bouleversant en matière de consentement, les dispositions qu’il contient complètent et précisent les modalités dans lesquelles un consentement doit être recueilli. Le texte prévoit également qu’un responsable de traitement doit toujours être en mesure de prouver le consentement qui lui a été donné.

2. Dès lors, beaucoup d’entreprises ont fait le constat, d’une part, que les données qu’elles détiennent n’ont pas toujours été précédées du consentement de la personne concernée, et, d’autre part, que lorsque le consentement a été recueilli, elles n’en ont pas gardé de preuve. En conséquence, toutes ont eu la crainte de perdre l’ensemble de leur base de données si elles devaient solliciter (à nouveau) le consentement des personnes concernées. En effet, d’après plusieurs études, une campagne de mailing ayant pour objet de solliciter un consentement ne ferait l’objet d’un taux de réussite que de 5 à 7 %.

3. Toutefois, il est important de rappeler qu’une nouvelle sollicitation des personnes concernées n’est à envisager que dans certains cas uniquement. Tout d’abord, toutes les données contenues dans les bases de données ne sont pas toutes soumises à l’obligation de détenir un consentement, celui-ci étant l’une des bases légales prévues par le RGPD. Les entreprises peuvent s’appuyer sur une autre base légale pour poursuivre leur traitement, comme par exemple exécution d’un contrat ou leurs intérêts légitimes.

4. De plus, même lorsque le consentement est obligatoire et qu’aucune autre base juridique ne peut être invoquée, il est important de distinguer plusieurs cas. En effet, le RGPD ne modifie pas les dispositions du code des postes et des communications électroniques encadrant la prospection par voie électronique. Même après l’entrée en application du RGPD, les entreprises peuvent continuer à traiter les données de leurs clients afin de leur envoyer des sollicitations commerciales dès lors que ces dernières concernent des produits ou services similaires à ceux ayant été consommés par leurs clients sans qu’il n’ait besoin d’un consentement spécifique.

5. Il est également important de rappeler que le consentement peut se manifester au travers du comportement de la personne concernée. À titre d’exemple, une base de données constituée uniquement à des fins d’envoi d’actualités/newsletters, ne devrait pas faire l’objet d’une campagne de recueil de consentement si l’ensemble des coordonnées des personnes figurant dans cette base a été communiqué par la personne concernée elle-même et à son initiative en s’inscrivant à la newsletter.

6. Pour tous les autres cas où le recueil de consentement doit être réalisé à nouveau ou mis à jour, les responsables de traitement de bonne foi ont du mal à interpréter les quatre critères cumulatifs que doit respecter le consentement. Dans son communiqué de presse, la CNIL a entendu les aider dans leur compréhension. À ce titre, la CNIL a précisé quels étaient les attentes pour respecter ces critères.

7. S’agissant du caractère libre du consentement, la CNIL précise que celui-ci ne doit ni être influencé, ni être contraint. Autrement dit, la personne concernée doit véritablement avoir un choix sans avoir à subir de conséquences négatives en cas de refus. La CNIL prend comme exemple le cas des opérateurs de téléphonie mobile et explique que dans ce contexte, le consentement est considéré comme libre si le refus du client n’impacte pas la fourniture du service de téléphonie mobile.

8. S’agissant du caractère spécifique, la CNIL précise qu’il faut comprendre que le consentement doit être spécifique à un traitement et à une finalité déterminée. Dès lors, si un traitement poursuit plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour chacune de ces finalités.

9. S’agissant du caractère éclairé, la CNIL indique que pour que le consentement soit valide, il doit être accompagné d’un certain nombre d’informations, et notamment : l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données puissent être utilisées dans le cas de décisions individuelles automatisées ou qu’elle feront l’objet d’un transfert vers un pays en dehors de l’Union européenne.

10. Enfin, s’agissant du caractère univoque du consentement, la CNIL rappelle ici que le consentement doit toujours être donné par un acte positif clair et qu’aucune ambiguïté ne doit subsister. Dès lors, les cases pré-cochées ou pré-activées ou encore les consentements « groupés » sont à bannir.

A rapprocher : Article 7 du Règlement Général sur la Protection des Données

VOIR AUSSI

Manquement à l’obligation de sécurité des données : OPTICAL CENTER condamnée à 250 000 € d’amende

CNIL, Délibération n°SAN- 2018-002 du 7 mai 2018

- Vu : 253

La CNIL a condamné la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet.

> Lire la suite

Défaut de sécurité : avertissement public de la société RICARD !

- Vu : 112

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1833
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 1690
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 1525
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1234
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©