Qu’est-ce que la notion de consentement à l’heure du RGPD ?
L’arrivée du RGPD s’accompagne d’un renforcement du droit des utilisateurs. Voici comment bien comprendre la notion de consentement, grande vedette de ce règlement !
Si vous collectez des données personnelles, vous devez désormais vous assurer de recueillir le consentement de tous les utilisateurs qui vous confieraient leurs informations.
Cette démarche vous permet à la fois d’être en conformité avec le RGPD et de renforcer la confiance des utilisateurs envers votre structure.
Mais comment s’assurer du consentement de l’utilisateur ? Et comment documenter le consentement auprès de l’autorité de contrôle ?
La définition RGPD du consentement
La notion de consentement n’est pas nouvelle dans le domaine de la protection des données personnelles.
Le RGPD vient néanmoins renforcer cet aspect des libertés informatiques en exigeant que ce consentement réponde à des critères précis : il doit être libre, spécifique, positif et explicite.
Pour se faire, certaines pratiques sont désormais proscrites : le RGPD signe notamment la fin des cases pré-cochées, une pratique on ne peut plus répandue à travers internet !
A partir du 25 mai, le consentement s’obtient juridiquement par l’action positive de l’utilisateur, et non plus par son inaction (comme c’était le cas pour lesdites cases).
Cette modalité permet à la personne concernée de vous spécifier explicitement qu’elle accepte de vous confier ses données.
Avant de demander l’accord de l’utilisateur, celui-ci doit disposer de toutes les informations nécessaires concernant le traitement de ses données personnelles.
Ces informations doivent être accessibles, compréhensibles et explicites pour répondre à l’exigence du consentement.
Concernant le principe de liberté, le RGPD implique également que tout utilisateur doit être libre de refuser de vous confier ses données personnelles.
Il n’est donc plus possible d’exiger d’obtenir les données personnelles d’une personne pour lui fournir un service qui ne nécessiterait pas ces données pour fonctionner correctement.
Comment se mettre en conformité avec l’exigence de consentement ?
Pour être en conformité avec le RGPD, assurez-vous que chaque donnée est exploitée licitement.
Veillez à ce que l’utilisateur soit clairement informé de l’usage de ses données et vous donne son accord par une action positive et explicite.
Dans une logique d’accountability, prenez soin de mettre en œuvre de bonnes pratiques qui vous permettront de prouver votre conformité.
Veillez à conserver les preuves du consentement de l’utilisateur et à documenter votre processus de traitement des données.
Vous pourrez ainsi, au besoin, prouver que vous n’enfreignez pas le RGPD. Pour recueillir le consentement libre et éclairé de vos utilisateurs, celui-ci doit être demandé distinctement de l’accord de lecture des conditions générales d’utilisation.
Le recueil du consentement doit être préalable à la collecte et au traitement des données.
Le consentement est étroitement lié aux droits de la personne, il doit donc être clairement demandé et non considéré comme acquis par défaut !
Il est important d’informer l’utilisateur qu’il est libre de retirer son consentement. Le retrait du consentement doit également être facilité par les traitants.
Par ailleurs, les données personnelles de l’utilisateur ne peuvent être utilisées qu’aux fins pour lesquelles ce dernier a donné son accord.
Toute utilisation pour un autre objectif contrevient aux dispositions du RGPD et constitue une violation des données personnelles de l’utilisateur.
La CNIL, votre DPO ou un cabinet de conseil seront qualifiés pour vous accompagner dans l’élaboration de bonnes pratiques qui vous permettront d’être en conformité avec le RGPD.
En cas de doute, renseignez-vous auprès d’un expert qui saura vous conseiller pour assurer la sécurité juridique de votre structure.