Nous contacter.
02 52 35 24 54
La gestion des données à caractère personnel est un paysage complexe, dans lequel le RGPD joue le rôle de gardien vigilant au respect de leur sécurité et de leur confidentialité. Il garantit que chaque traitement de données soit parfaitement légitime et solide via 6 bases légales, sur lesquelles un traitement de données peut reposer. Parmi elles, le consentement et l’intérêt légitime.
Qu’est-ce que le consentement ?
Au sens RGPD le consentement est défini comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
Autrement dit, le consentement est une approbation considérée comme valide que si elle répond à 4 critères spécifiques et cumulatifs :
- Libre : Aucune peur ou pression ne doit influer sur le consentement d’une personne. Elle doit pouvoir donner ou retirer son consentement sans craindre d’atteinte.
- Spécifique : Un consentement concerne un seul traitement, et une seule finalité à la fois. Dès lors qu’un traitement est constitué de plusieurs finalités, alors la personne doit pouvoir consentir de manière indépendante à chacune de ces finalités.
- Éclairé : Un consentement se doit d’être accompagné de toutes les informations nécessaires pour que la personne puisse prendre sa décision de manière avisée : finalité du traitement, identité du responsable de traitement, type de données collectées, droit de retrait du consentement, transfert des données hors UE.
- Univoque : Il ne doit peser aucun doute sur le consentement de la personne. Celui-ci doit se faire par un acte positif et clair, ne laissent subsister aucune ambiguïté.
Qu’est-ce que l’intérêt légitime ?
L’intérêt légitime est l’une des 6 autres bases légales prévues par le RGPD sur laquelle peut être fondé un traitement de données à caractère personnel.
Il repose sur un équilibre entre les “intérêts ou libertés et droits fondamentaux des personnes”, leurs attentes, et l’intérêt du responsable du traitement.
Mais concrètement qu’est-ce que cela veut dire ?
Les organismes qui souhaitent avoir recours à l’intérêt légitime doivent se soumettre à certaines exigences :
- L’intérêt poursuivi doit être légitime. S’il n’existe pas de liste exhaustive des intérêts considérés comme légitime, le RGPD en fournit différents exemples :
- volonté de garantir la sécurité du SI et des réseaux,
- exécution à des fins de préventions de fraudes,
- exécution à des fin de gestion administrative interne,
- prospection commerciale,
- L’intérêt légitime doit être nécessaire. D’autres moyens moins intrusifs pour la vie privée et permettant d’atteindre le même résultat ne doivent pas exister. De même, seules les données strictement nécessaires peuvent être traitées et celles-ci ne doivent répondre qu’à l’objectif poursuivi.
- Les droits et intérêts des personnes concernées ne doivent pas prévaloir. C’est la condition la plus complexe de l’intérêt légitime. On parle de pondération de l’intérêt légitime et des droits et intérêts des personnes. L’organisme à l’origine du traitement doit s’assurer que les objectifs qu’il poursuit ne portent pas préjudice aux droits et intérêts des personnes concernées. Ses attentes doivent être raisonnables.
Besoin d’un accompagnement pour votre mise en conformité RGPD ? Besoin de conseils pour déterminer quelle base légale est adaptée à votre traitement de données ? Contactez, AP3R consulting, votre cabinet de conseil RGPD à Angers et dans tout le Grand Ouest.