Actualités CNIL du 3 août 2018, Conformité RGPD : comment recueillir le consentement des personnes ?
L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude.
Ce qu’il faut retenir : L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude. Si le RGPD prévoit qu’un consentement obtenu et recueilli avant son entrée en application peut demeurer valide, encore faut-il qu’il soit conforme aux dispositions désormais prévues par le RGPD à savoir un acte positif :
- Libre ;
- Éclairé ;
- Spécifique ;
- Univoque.
Pour approfondir :
1. Si le RGPD n’est pas particulièrement bouleversant en matière de consentement, les dispositions qu’il contient complètent et précisent les modalités dans lesquelles un consentement doit être recueilli. Le texte prévoit également qu’un responsable de traitement doit toujours être en mesure de prouver le consentement qui lui a été donné.
2. Dès lors, beaucoup d’entreprises ont fait le constat, d’une part, que les données qu’elles détiennent n’ont pas toujours été précédées du consentement de la personne concernée, et, d’autre part, que lorsque le consentement a été recueilli, elles n’en ont pas gardé de preuve. En conséquence, toutes ont eu la crainte de perdre l’ensemble de leur base de données si elles devaient solliciter (à nouveau) le consentement des personnes concernées. En effet, d’après plusieurs études, une campagne de mailing ayant pour objet de solliciter un consentement ne ferait l’objet d’un taux de réussite que de 5 à 7 %.
3. Toutefois, il est important de rappeler qu’une nouvelle sollicitation des personnes concernées n’est à envisager que dans certains cas uniquement. Tout d’abord, toutes les données contenues dans les bases de données ne sont pas toutes soumises à l’obligation de détenir un consentement, celui-ci étant l’une des bases légales prévues par le RGPD. Les entreprises peuvent s’appuyer sur une autre base légale pour poursuivre leur traitement, comme par exemple exécution d’un contrat ou leurs intérêts légitimes.
4. De plus, même lorsque le consentement est obligatoire et qu’aucune autre base juridique ne peut être invoquée, il est important de distinguer plusieurs cas. En effet, le RGPD ne modifie pas les dispositions du code des postes et des communications électroniques encadrant la prospection par voie électronique. Même après l’entrée en application du RGPD, les entreprises peuvent continuer à traiter les données de leurs clients afin de leur envoyer des sollicitations commerciales dès lors que ces dernières concernent des produits ou services similaires à ceux ayant été consommés par leurs clients sans qu’il n’ait besoin d’un consentement spécifique.
5. Il est également important de rappeler que le consentement peut se manifester au travers du comportement de la personne concernée. À titre d’exemple, une base de données constituée uniquement à des fins d’envoi d’actualités/newsletters, ne devrait pas faire l’objet d’une campagne de recueil de consentement si l’ensemble des coordonnées des personnes figurant dans cette base a été communiqué par la personne concernée elle-même et à son initiative en s’inscrivant à la newsletter.
6. Pour tous les autres cas où le recueil de consentement doit être réalisé à nouveau ou mis à jour, les responsables de traitement de bonne foi ont du mal à interpréter les quatre critères cumulatifs que doit respecter le consentement. Dans son communiqué de presse, la CNIL a entendu les aider dans leur compréhension. À ce titre, la CNIL a précisé quels étaient les attentes pour respecter ces critères.
7. S’agissant du caractère libre du consentement, la CNIL précise que celui-ci ne doit ni être influencé, ni être contraint. Autrement dit, la personne concernée doit véritablement avoir un choix sans avoir à subir de conséquences négatives en cas de refus. La CNIL prend comme exemple le cas des opérateurs de téléphonie mobile et explique que dans ce contexte, le consentement est considéré comme libre si le refus du client n’impacte pas la fourniture du service de téléphonie mobile.
8. S’agissant du caractère spécifique, la CNIL précise qu’il faut comprendre que le consentement doit être spécifique à un traitement et à une finalité déterminée. Dès lors, si un traitement poursuit plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour chacune de ces finalités.
9. S’agissant du caractère éclairé, la CNIL indique que pour que le consentement soit valide, il doit être accompagné d’un certain nombre d’informations, et notamment : l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données puissent être utilisées dans le cas de décisions individuelles automatisées ou qu’elle feront l’objet d’un transfert vers un pays en dehors de l’Union européenne.
10. Enfin, s’agissant du caractère univoque du consentement, la CNIL rappelle ici que le consentement doit toujours être donné par un acte positif clair et qu’aucune ambiguïté ne doit subsister. Dès lors, les cases pré-cochées ou pré-activées ou encore les consentements « groupés » sont à bannir.
A rapprocher : Article 7 du Règlement Général sur la Protection des Données