Le nouveau règlement européen sur la protection des données personnelles (GDPR) a apporté des précisions quant à la manière dont le consentement devrait être obtenu (voire retiré), en donnant une nouvelle définition et en édictant de nouvelles exigences dans certaines situations.

Définition. Selon le nouveau règlement, le consentement est une indication librement donnée, précise, informée et sans ambiguïté des souhaits de l’individu. Cette indication peut être soit une déclaration soit une action affirmative claire.

La principale différence entre le nouveau règlement et la directive actuelle est le mot «sans ambiguïté». Toutefois, d’autres orientations ont été ajoutées.

Consentement / Conditions Générales ou Politique de confidentialité. Lorsque le consentement est la base légale du traitement des données, les termes du consentement doivent être présentés d’une manière qui se distingue clairement des autres, en particulier lorsque ces derniers font partie des Conditions Générales. Un langage clair doit être utilisé.

Dans la pratique, l’acceptation d’une politique de protection de la vie privée dans laquelle un paragraphe fournissant toutes les informations nécessaires est consacrée au consentement devrait être un moyen valable d’obtenir le consentement dès lors que ce dernier est suffisamment clair et visible. Des recommandations des autorités devraient être publiés d’ici mai 2018.

Portée du consentement. Le consentement doit couvrir toutes les activités de traitement ayant la même finalité. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble de ces finalités. (Mise à jour janvier 2018), le RGPD ajoute également qu’un consentement distinct devrait pouvoir être donné pour différente opérations de traitement (considérant 43). La distinction finalité et opération de traitement n’est pas claire mais le G29 s’est prononcé pour un consentement pour chaque finalité dans sa recommandation relative au consentement.

Forme du consentement. Le consentement devrait être donné par un acte positif clair, par exemple par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Cela pourrait être matérialisé par une case à cocher, des paramètres techniques pour les services de la société de l’information ou une autre déclaration ou comportement qui indique clairement dans ce contexte l’acceptation par l’individu du traitement proposé. Le silence, les cases pré-cochées ou l’inactivité ne doivent pas être valides.

Services conditionnels au consentement. Lorsque la prestation de services est subordonnée à l’obtention du consentement d’un individu à un traitement de données qui n’est pas nécessaire à la prestation des services (par exemple, le marketing direct par courrier électronique), le consentement pourrait ne pas être considéré comme donné librement. Toutefois, même si une «importance absolue» sera accordée à cette manière d’obtenir le consentement lors de l’évaluation de la validité du consentement, il n’est pas expressément interdit, de sorte qu’il y aura peut-être place pour certains types de services conditionnels.

Droit de retirer son consentement à tout moment. Le responsable de traitement doit donner la possibilité aux personnes concernées de retirer leur consentement à tout moment. Il doit être aussi facile de retirer que de donner son consentement.

Consentement des mineurs. Lorsque la personne fournissant ses données personnelles a moins de 16 ans, les parents ou toute personne ayant une autorité légale doivent donner leur accord pour que le consentement soit considéré comme valide. Toutefois, selon l’Etat membre, le seuil peut être abaissé à 13 ans.

Preuve du consentement. Les responsables de traitement devraient être en mesure de démontrer qu’ils ont obtenu le consentement de l’individu.

Sanction. Le fait de ne pas obtenir le consentement de l’individu pourrait faire l’objet d’une amende d’un montant de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel. Le fait de ne pas obtenir le consentement des parents fait l’objet d’une amende de 10 millions d’euros ou de 2% du chiffre d’affaires mondial annuel.

Ce article est également disponible en en_GB.

Partage

GDPR : consentement
Étiqueté avec :    

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *