Lexique IT
Consentement
Le consentement constitue l’une des six bases légales permettant le traitement des données personnelles conformément au RGPD.
Néanmoins, le consentement, pour être valablement considéré comme une base légale du traitement des données à caractère personnel de la personne concernée, doit respecter certaines conditions.
En effet, le consentement ne constitue une base légale appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice.
Ainsi, le consentement s’entend de toute manifestation de volonté :
- Libre ;
- Spécifique ;
- Éclairée ;
- Et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Afin de déterminer si le consentement est donné librement par la personne concernée, il y a lieu de tenir compte de l’éventuelle contrainte raisonnablement ressentie par la personne concernée ou des éventuelles conséquences négatives importantes qu’elle pourrait subir si elle ne donne pas son consentement. La notion de déséquilibre entre le responsable du traitement et la personne concernée doit également être prise en considération.
En tout état de cause, l’obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires limite le choix de la personne concernée et fait obstacle au consentement libre.
Le consentement est spécifique lorsque le responsable de traitement garantit :
- La spécification des finalités en tant que garantie contre tout détournement d’usage;
- Le caractère détaillé des demandes de consentement et;
- La séparation claire des informations liées à l’obtention du consentement au traitement des données et des informations concernant d’autres sujets.
Il est ainsi exclu que la collecte du consentement se retrouve noyée dans l’acceptation de conditions générales de vente ou d’utilisation d’un site internet.
Le consentement est dit éclairé lorsque la personne concernée a communication des informations relatives au traitement, sous une forme claire, accessible et compréhensible, avant de donner son consentement au responsable du traitement. Le caractère éclairé du consentement participe ainsi du droit à l’information de la personne concernée.
Enfin, le consentement est dit univoque lorsque la personne concernée effectue une déclaration ou un acte positif clair, tel qu’un opt-in, afin de consentir au traitement de ses données. Il doit être clair que la personne concernée a bien consenti au traitement. Le consentement ne peut donc être implicite, et notamment relevé d’un dispositif d’opt-out.
Dans les cas où le traitement repose sur le consentement, le responsable du traitement doit démontrer à tout moment que la personne concernée a correctement donné son consentement au traitement de données à caractère personnel la concernant.
Point RGPD
« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.
Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité (…) ».
Point jurisprudence
Le Conseil d’Etat a jugé que : « le dispositif contesté, constitué d’une caméra thermique […] constitue un traitement de données à caractère personnel qui, faute d’avoir reçu un consentement explicite et libre ou, en tout état de cause, d’avoir été autorisé par un texte, est interdit par les articles 6, 7 et 9 du règlement général sur la protection des données ».
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.