Nous contacter.
07 81 41 17 25

RGPD : quand demander le consentement ?

Publié le 19 septembre 2023



Qu’est-ce que le RGPD ?

Le Règlement sur la protection des données, ou RGPD, est un règlement de l’Union Européenne qui vise :

  • à protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et à leur redonner le contrôle sur ces données,
  • à renforcer la responsabilisation des acteurs du traitement des données,
  • à augmenter le pouvoir des autorités de contrôle en cas de non-conformité.


Qu’est-ce que le consentement ?

RGPD : quand demander le consentement ?

Le consentement est l’une des 6 bases légales prévues par le RGPD qui autorisent légalement la mise en œuvre de la collecte et de l’utilisation des données à caractère personnel.

Au sens RGPD du terme, le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».





Quand le consentement est-il valide ?

Si la notion de consentement existait déjà dans la Loi informatique et Libertés, le RGPD est venu la renforcer.

Ainsi, afin qu’un consentement recueilli soit valable, il doit répondre à 4 critères cumulatifs :

  1. Libre : le recueil de consentement doit offrir un choix réel d’acceptation ou de refus sans que cela n’entraîne de répercussion négative en cas de refus. Le refus de consentement doit également se faire selon les mêmes modalités que pour l’accord de consentement. Il ne doit pas y avoir d’influence de choix.
  2. Spécifique : 1 traitement = 1 finalité. Si un traitement de données comporte plusieurs finalités, le consentement doit se faire de manière indépendante pour chacun d’entre eux.
  3. Éclairé : La demande de consentement doit être parfaitement exprimée, de manière claire et limpide. La demande doit également s’accompagner des informations nécessaires liées au principe de transparence. Les personnes concernées par le traitement doivent connaître :
    1. Les raisons de la collecte des données qui les concernent (finalité du traitement).
    2. Le type de données collectées.
    3. Comment seront utilisées leurs données.
    4. L’identité du responsable du traitement.
    5. Leurs droits concernant la maîtrise de leurs données (exemple : retrait de consentement).
    6. Si leurs données concernent un transfert hors UE.

Ces informations doivent être facilement accessibles.

  1. Univoque : Le consentement doit être explicite, donné par un acte positif clair, sans laisser de place à quelconque ambiguïté. Exemple de cas non valide : les cases pré-cochées ou encore l’inactivité (absence de réponse).


Quand demander le consentement ?

Le recueil de consentement est-il systématique ?

Non : le recueil de consentement n’est pas obligatoire. Le responsable du traitement peut procéder à un traitement de données en se fondant sur l’une de 5 autres bases légales existantes selon le RGPD.

Attention : la base légale retenue par le responsable de traitement doit être adaptée au traitement qui peut avoir en référence une ou plusieurs bases légales.

Quand le recueil de consentement est obligatoire ?

Le recueil de consentement devient donc obligatoire dès lors qu’il constitue l’unique base légale du traitement des données à caractère personnel.

Qu’en est-il des consentements accordés avant la mise en place du RGPD ?

Dans le cadre d’un recueil de consentement antérieur au 25 mai 2018, celui-ci peut demeurer valide s’il répond aux exigences du RGPD. Dans le cas contraire, le responsable de traitement devra procéder à un nouveau recueil de consentement conforme au nouveau règlement européen car il doit être en mesure de démontrer la validité du recours à cette base légale.

 

Besoin d’un audit RGPD pour votre mise en conformité ?
Contactez AP3R Consulting, votre cabinet de conseil RGPD et cybersécurité sur Angers et dans tout le grand Ouest.