DROIT DES DONNÉES PERSONNELLES

10/10/2018 / Droit de l’informatique et des nouvelles technologies – Droit des contrats

La CNIL publie des préconisations concernant le recueil du consentement

Afin d’assister les responsables de traitements dans le cadre du recueil du consentement des personnes concernées par des traitements de données à caractère personnel, la CNIL a publié des préconisations permettant de faire le point sur les différentes pratiques en la matière.

La CNIL rappelle, qu’au terme du RGPD, le consentement, qui se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4 RGPD) constitue l’une des bases légales prévues par les textes.

Par ailleurs, le consentement doit également répondre à quatre critères de validité. En ce sens, le consentement doit être :

  • Libre : le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. La personne concernée qui achète un bien sur Internet doit donc pouvoir refuser que ses données personnelles soient traitées dès lors que les traitements envisagés ne sont pas nécessaires à l’exécution du contrat, par exemple, pour réaliser des opérations de prospection commerciale.
  • Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée. La personne concernée qui souscrit à une offre de service sur Internet doit consentir à la conservation de ses coordonnées bancaires pour faciliter ses futurs paiements et également à l’utilisation de son adresse de messagerie électronique pour être informée de nouvelles offres. Elle doit donc consentir deux fois et être en mesure d’accepter ou de refuser librement et séparément pour chaque traitement.
  • Éclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. La personne qui s’inscrit à un réseau social professionnel doit ainsi être informée de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement et, le cas échéant, du fait que les données soient utilisées dans le cadre de décisions individuelles automatisées ou encore du fait qu’elles fassent l’objet d’un transfert vers un pays hors Union européenne.
  • Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Le prestataire de service ne peut recueillir le consentement au moyen de cases pré-cochées, d’une seule et unique case si le consentement concerne plusieurs traitements distincts et ne peut se satisfaire de l’inaction de la personne concernée qui doit donc accomplir une démarche positive.

En outre le prestataire doit mettre en œuvre un processus au terme duquel la personne concernée doit pouvoir retirer son consentement par le biais de modalités simples et se ménager la preuve du consentement valide des personnes concernées.

Enfin, il convient de réserver le cas des mineurs de moins de 15 ans qui doivent consentir conjointement avec au moins un titulaire de l’autorité parentale et les traitements de données sensibles ou permettant une prise de décision entièrement automatisée qui nécessite un consentement explicite de la part de la personne concernée.

Préconisation de la CNIL

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes