Le RGPD change indéniablement la donne concernant le consentement en matière de marketing en le renforçant considérablement sur certains aspects, tout en restant dans la même lignée de la directive de 1995 et de la loi de 2004 (celle qui a introduit l’opt-in) sur les principes fondamentaux.
Pour rappel, cette dernière stipulait déjà les règles du consentement :
« Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. »
Le RGPD quant à lui définit le consentement comme étant :
« Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. »
On voit que les éléments de langage sont très similaires et qu’aucun changement fondamental n’est intervenu sur ce point particulier. De plus, le RGPD est explicite sur l’autorisation de poursuite des activités de traitement de données sur la base des consentements obtenus précédemment. Il n’est nul besoin de considérer que tout le processus de recueil de consentement doit être intégralement renouvelé pour le 25 mai 2018.
Comme c’était déjà le cas, le consentement suppose donc une démarche active de la personne concernée. Cette action peut être une signature écrite, une manifestation orale ou un comportement dont on peut incontestablement conclure la volonté de voir ses données personnelles traitées.
Le consentement doit être libre. C’est à dire qu’il doit par exemple pouvoir être retiré à tout moment. Par ailleurs, il faut vérifier, si il n’y a pas eu de contrainte. Par exemple, si la conclusion de contrat est subordonnée à l’acceptation de l’utilisation des données à des fins de marketing, le consentement n’est pas libre. C’est également ce qui s’oppose à l’utilisation de cases pré-cochées.
Le consentement doit être éclairé, c’est à dire que la personne concernée doit effectivement comprendre ce qu’il advient de cette donnée. Pour cela, la demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Il faudra s’adapter concrètement au public visé par la demande de consentement en évitant le jargon, les formulations complexes…
Le consentement doit être spécifique. La demande de consentement doit donc être granulaire ; pour chaque finalité différente, un consentement différent doit être demandé. La demande de consentement ne peut pas non plus être noyée dans les conditions générales. Un exemple de finalité : la prospection commerciale directe
On le voit, les exigences du RGPD en termes de consentement sont particulièrement strictes, une quantité d’informations plus importante doit être communiquée à la personne concernée.
Les informations énumérées ci-après doivent au minimum être fournies :
L’identité du responsable du traitement : informations nécessaires à l’identification du responsable ainsi que de toutes les personnes susceptibles de recevoir les données
Les buts des traitements : information claire, traitement par traitement, sur ce qui sera fait des données.
Les activités de traitement qui seront effectuées : information traitement par traitement à moins que les traitements soient indépendants.
Le droit de retirer le consentement à tout moment ainsi que la manière de le faire
« Trop d’information peut tuer l’information » : le fait de noyer la personne concernée sous les informations peut mener à l’effet inverse de celui qui est concerné par le règlement. Au moment de l’obtention du consentement, seule l’information pertinente doit être communiquée. Le RGPD précise que lorsque le consentement est donné de manière électronique, l’information doit être fournie de manière concise et ne pas impacter négativement l’utilisation du service.