Une entrée en vigueur datant de quelques années, pourtant le RGPD suscite encore de nombreuses interrogations. Si globalement toutes les entreprises ont compris les enjeux inhérents aux données personnelles et à leur nécessaire protection, la question du consentement reste obscure. Condition sine qua none à la licéité d’un traitement, il fait en outre figure de garant pour les personnes concernées notamment quant au contrôle exercé par ces derniers. Ainsi le consentement, même s’il est un élément clé, il n’est au demeurant pas systématique.
Le Cabinet Avomedias intervient pour l’essentiel dans la sécurisation des projets numériques. La multiplication des textes de loi et des recommandations ne cessant de se multiplier, nos avocats optimisent votre activité en vous déchargeant des aspects juridiques et font de votre conformité au droit des données personnelles un garde-fou de vos investissements.
Qu’est-ce que le consentement en matière de données personnelles?
Le consentement, prévu dans la loi informatique et libertés, renforcé par le RGPD peut être difficile à mettre en œuvre. Toutefois, il est indispensable et les entreprises l’ont compris. Il assure notamment aux personnes la bonne compréhension quant aux traitements portant sur leurs données, de choisir de l’accepter ou non, de le limiter ou non mais aussi de faire valoir l’ensemble de leurs droits comme l’accession, la portabilité, la rectification, voire l’effacement.
Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Le consentement est une des 6 bases légales prévues par le RGPD de nature à autoriser les traitements de données à caractère personnel. Le choix de l’une de ces bases doit se faire en amont. À comprendre qu’afin de rendre licite un potentiel traitement, une entreprise peut solliciter le consentement d’une personne concernée.
La demande portant sur consentement de la personne concernée par le traitement intervient donc avant le début de ce dernier.
À préciser que toute modification des conditions du traitement (quant à la finalité ou la durée de conservation par exemple) est susceptible d’avoir une incidence sur la base légale retenue et notamment sur le consentement. Il convient donc de réitérer la demande.
Faut-il systématiquement recueillir le consentement pour réaliser un traitement de données ?
Pour rappel, il y a six bases légales qui justifient donc la réalisation d’un traitement de données personnelles :
- L’exécution d’un contrat ;
C’est le cas de l’employeur qui utilise les données personnelles de ses employés pour le versement du salaire (l’adresse pour la fiche de paie notamment). Cela peut valoir également pour la phase précontractuelle, durant les pourparlers, pour l’élaboration d’un devis notamment.
- Une obligation légale ;
La loi impose par exemple le respect de certaines dispositions légales qui induisent le traitement de données personnelles notamment en matière administrative. Tel est le cas pour le recensement de la population par l'INSEE.
- L’exécution d’une mission de service public ;
Certaines entités, à l’instar de la CNIL, mettent en œuvre de nombreux traitements liés à leurs professions vouées au service des usages et nécessaires à l’exécution de leurs missions.
- L’intérêt vital ;
Certaines données nécessitent d’être traitées en raison d’intérêts humanitaires, c’est le cas en cas d'épidémie ou des suites d’une catastrophe naturelle.
- L’intérêt légitime ;
L’intérêt est jugé légitime notamment dans le cadre de prévention de la fraude, sauf si les intérêts ou les libertés fondamentales de la personne concernée sont prédominants.
- Le consentement ;
Le consentement de la personne concernée n’est pas obligatoire pour les cinq premiers cas. En dehors de ces bases légales, le consentement demeure obligatoire. Si le responsable du traitement décide d’user de la base légale contractuelle par exemple, il devra néanmoins Le responsable être en mesure de démontrer la validité dudit recours.
Aussi, l’usage d’une base légale ne prive pas la personne concernée du droit à l’information de ses droits.
Quelles sont les modalités de recueil du consentement ?
Un consentement est jugé valide s’il remplit certaines conditions cumulatives :
- Il doit être libre : la personne ne doit être ni contrainte, ni forcée.
- Il doit être spécifique : le consentement ne peut être donné que pour un traitement, pour une finalité précise. S’il contient plusieurs finalités, alors la personne doit pouvoir consentir indépendamment et s’opposer, le cas échéant, à l’une d’elles.
- Il doit être éclairé : pour consentir, encore faut-il savoir à quoi. Ainsi, le consentement doit être accompagné d’un certain nombre d’informations.
- Il doit être univoque et explicit : Le consentement doit relever d’un comportement dit actif de la personne concernée. Elle doit véritablement accepter, le doute étant totalement proscrit.
En guise d’exemple, constitue un consentement valide le fait de cocher des cases dans l’hypothèse où celles-ci sont non cochées par avance. A contrario, n’est pas un consentement valide le silence de la personne concernée ou simplement la conception de cases pré-cochées.
À noter que pour les mineurs, il est nécessaire de recueillir le consentement ou l’autorisation « du titulaire de la responsabilité parentale » pour la transmission de données personnelles dans le cadre de la fourniture de services en ligne, notamment l’inscription aux réseaux sociaux.
Comment prouver le consentement de la personne concernée ?
Dans l’optique de vous prémunir d’éventuels risques, il est opportun de conserver la preuve du consentement aux vertus susvisées. Il convient ainsi de tenir un registre précisant qui est la personne concernée, ce sur quoi celle-ci a consenti et à quelle date (l’horodatage informatique est préféré).
Le Cabinet Avomedias est au service de l’innovation et du numérique. En cela, il a su développer une expertise à haute valeur ajoutée en matière de protection des données personnelles. L’équipe est constituée d’avocats performants chargés d’offrir un suivi optimal à toutes les entreprises en vue d’assurer une sécurité à tous dans l’Union européenne. Nous vous informons en outre sur le cadre légal sur le traitement des données à caractère personnel et définissons ensemble un plan d’action afin de jalonner notamment votre responsabilité au regard des obligations qui vous incombent. En cas de difficultés, nous vous épaulons en cas de contrôle DGCCRF, de crise ou de contentieux.