Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD.
Le consentement était déjà inscrit dans la loi Informatique et Libertés. Il est renforcé par le RGPD et les conditions de son recueil sont précisées. Il assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant de comprendre le traitement qui sera fait de leurs données ; de choisir sans contrainte d’accepter ou non ce traitement ; de changer d’avis librement. Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables du traitement. Souvent mis en avant lors de la souscription et l’utilisation de services, notamment en ligne, il doit être recueilli dans des conditions particulières assurant sa validité.
Qu’est-ce que le consentement ?
Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données. Le consentement est une des bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.
Le consentement des personnes doit-il être systématiquement recueilli ?
Non : le consentement est l’une des 6 bases juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.
Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, comme par exemple l’exécution d’un contrat ou leur intérêt légitime. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement concerné.
En revanche, le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel.
Quels sont les critères de validité du consentement ?
4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :
Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.
Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé : l’identité du responsable du traitement ; les finalités poursuivies ; les catégories de données collectées ; l’existence d’un droit de retrait du consentement ; selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.
Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques les cases pré-cochées ou pré-activées; les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts); l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement).
Que change le RGPD ?
Le RGPD n’a pas modifié substantiellement la notion de consentement. Il a en revanche clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :
Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).
Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides. Pour ce faire, les responsables du traitement doivent documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer :
- la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre »)
- la séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité du consentement »)
- la bonne information des personnes (consentement « éclairé »)
- le caractère positif de l’expression du choix de la personne (consentement « univoque »).
Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.
Le RGPD prévoit des conditions particulières de consentement pour certaines situations :
- Consentement des mineurs : pour les services de la société de l’information (réseaux sociaux, plateformes, newsletters, etc.), le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite, par principe, que si l’enfant est âgé d’au moins 16 ans.
Lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Le RGPD permet aux Etats membres de faire varier cet âge, en dessous duquel le consentement doit être donné par les parents, entre 13 et 16 ans.
En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.
- Consentement explicite : dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.
Il s’agit des cas où il existe un risque sérieux sur la protection des données et qui nécessitent un plus haut degré de contrôle de l’individu : il est par exemple exigé pour le traitement des données sensibles ou pour permettre la prise de décision entièrement automatisée.
Pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :
- prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles
- demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données
- recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement.
Le consentement doit-il être à nouveau recueilli avec le RGPD ?
Un consentement obtenu et recueilli avant le 25 mai 2018 peut demeurer valide, à condition qu’il soit conforme aux dispositions désormais prévues par le RGPD. Cette situation peut tout à fait se produire, dans la mesure où ce nouveau cadre juridique est proche du cadre antérieur.
Si ce n’est pas le cas, les responsables du traitement doivent « rafraîchir » ou compléter le consentement recueilli auprès des personnes afin d’être considéré valide et conforme aux exigences du RGPD.
Source : CNIL