L’une des modifications les plus importantes du Règlement général sur la protection des données (ci-après dénommé « RGPD ») est la gestion du consentement. Plus précisément, le consentement est régi à l’article 6 – licéité du traitement –, à l’article 7 – conditions du consentement – et, enfin, à l’article 9 – en ce qui concerne le traitement de catégories particulières de données à caractère personnel. Il y est également fait allusion, afin d’apporter plus de clarté à sa gestion, tout au long des différents considérants du RGPD.
Comment devrions-nous demander le consentement ?
Maintenant, lorsque nous demandons le consentement au RGPD, comment devons-nous le collecter afin qu’il soit conforme à toutes les garanties accordées par le règlement ? C’est important car une bonne gestion du consentement aidera votre entreprise à démontrer qu’elle respecte fidèlement les réglementations en matière de protection des données personnelles.
Par conséquent, une fois qu’il a été déterminé que la base qui légitime le traitement est le consentement, l’entreprise doit mettre en œuvre une stratégie pour sa collecte correcte par la partie intéressée. Il est également important que l’entreprise puisse fournir des preuves futures de la méthode de collecte et, le cas échéant, des différentes finalités de traitement qui ont été consenties par la partie intéressée.
Concrètement, la gestion du consentement RGPD doit respecter les points suivants :
- Il doit être donné au moyen d’un acte positif clair qui reflète l’expression libre, spécifique et sans équivoque de la volonté de la partie intéressée d’accepter le traitement.
- Il doit être clairement informé avant sa collecte.
- Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour chacune d’entre elles, c’est-à-dire qu’il doit y avoir autant de consentements qu’il y a de finalités dans le traitement.
- Si le consentement de la personne concernée doit être donné à la suite d’une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l’utilisation du service pour lequel elle est fournie.
Il est important de souligner que le silence, les cases pré-cochées ou l’inaction ne constituent pas un consentement. Le consentement doit être donné expressément par la personne concernée, car toute autre forme de collecte ne constitue pas un consentement valide ou légitime. Il n’est pas non plus valable si la fourniture du service dépend du consentement ou s’il ne peut être garanti qu’il sera fourni librement, par exemple, si la personne concernée ne peut pas le retirer ou ne jouit pas d’un choix véritable et libre.
Ce dernier point est très pertinent, notamment lorsque l’on fait référence au traitement des données personnelles dans le cadre « employé-entreprise ». En effet, il est peu probable que le consentement constitue une base juridique pour le traitement des données sur le lieu de travail, à moins que les employés ne puissent s’opposer au traitement sans conséquences négatives.
Gestion de la révocation du consentement RGPD
Enfin, un autre aspect à prendre en compte lors de sa gestion est sa révocation, puisqu’il doit pouvoir être retiré à tout moment par l’intéressé. Le RGPD est très clair à cet égard et stipule dans son libellé qu’« il sera aussi facile de retirer son consentement que de le donner ». Une bonne pratique serait que la même voie utilisée pour l’accorder soit également utilisée pour la révoquer. Il est courant de trouver une seule étape pour obtenir le consentement, mais de devoir passer par plusieurs étapes si nous voulons le révoquer par la suite.
À titre d’exemple, si le consentement exprès pour l’envoi de communications commerciales est obtenu par le biais d’un formulaire web et qu’il est informé que la révocation doit être effectuée en contactant un centre d’appels les jours ouvrables de 8 h à 17 h, cette pratique ne serait pas conforme à l’article 7.3 du RGPD. Dans ce cas, le retrait du consentement nécessite un appel téléphonique pendant les heures de bureau, ce qui est plus compliqué que de cliquer sur un formulaire Web activé 24 heures sur 24, 7 jours sur 7.
Chez GlobalSuite Solutions, nous avons plus de 15 ans d’expérience dans la protection des données personnelles et la sécurité de l’information grâce à notre logiciel GlobalSuite®. En outre, nos équipes de consultants spécialisés offrent les conseils et le soutien nécessaires pour aider les entreprises à définir des protocoles corrects pour le traitement des données personnelles, à déterminer les bases juridiques légitimes, à gérer les consentements, entre autres, afin de se conformer aux exigences du RGPD et de la LOPDGDD.
