Article

Comment obtenir un consentement valable dans le cadre du RGPD ?

Comment obtenir un consentement valable dans le cadre du RGPD ?

Pour pouvoir traiter des données à caractère personnel, le Règlement Général sur la Protection des Données (RGPD) élargit le champ d’application du principe de recueil du consentement, mais il n’en modifie pas les modalités déjà existantes au travers de la directive de 1995 ou de la Loi pour la Confiance dans l’Economie Numérique (LCEN) de 2004. Les optin collectés jusqu’ici restent valables et la prospection commerciale par email ou SMS reste possible dans les mêmes conditions. Cependant, il conviendra d’être plus strict sur des dimensions existantes mais quelque peu négligées jusqu’ici : l’apport de la preuve de ce recueil, la spécificité des finalités, les catégories de prestataires à qui les données sont transférées ou les pays tiers vers qui les données sont transférées.

Pour aider à se mettre en conformité avec le RGPD, Actito propose un module « Formulaires et Pages » qui embarque en standard l’historisation du contexte et des mentions légales au moment de la collecte. Le template Preference Center est « prêt à l'emploi » et comporte tous les principes d’information et de granularité du recueil de consentement requis par le RGPD. En utilisant ces modules, vous êtes sûr de pouvoir démontrer votre bonne foi dans la mise en œuvre des principes du RGPD, ce que vous pourriez être amené à devoir prouver endéans les deux prochaines années.

Les règles du consentement

Le RGPD change indéniablement la donne concernant le consentement en matière de marketing en le renforçant considérablement sur certains aspects, tout en restant dans la même lignée de la directive de 1995 et de la loi de 2004 (celle qui a introduit l’opt-in) sur les principes fondamentaux.

Pour rappel, cette dernière stipulait déjà les règles du consentement :

« Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. »

Le RGPD quant à lui définit le consentement comme étant :

« Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. »

On voit que les éléments de langage sont très similaires et qu’aucun changement fondamental n’est intervenu sur ce point particulier. De plus, le RGPD est explicite sur l’autorisation de poursuite des activités de traitement de données sur la base des consentements obtenus précédemment. Il n’est nul besoin de considérer que tout le processus de recueil de consentement doit être intégralement renouvelé pour le 25 mai 2018.

Comme c’était déjà le cas, le consentement suppose donc une démarche active de la personne concernée. Cette action peut être une signature écrite, une manifestation orale ou un comportement dont on peut incontestablement conclure la volonté de voir ses données personnelles traitées.

Le consentement doit être libre. C’est à dire qu’il doit par exemple pouvoir être retiré à tout moment. Par ailleurs, il faut vérifier, si il n’y a pas eu de contrainte. Par exemple, si la conclusion de contrat est subordonnée à l’acceptation de l’utilisation des données à des fins de marketing, le consentement n’est pas libre. C’est également ce qui s’oppose à l’utilisation de cases pré-cochées.

Le consentement doit être éclairé, c’est à dire que la personne concernée doit effectivement comprendre ce qu’il advient de cette donnée. Pour cela, la demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Il faudra s’adapter concrètement au public visé par la demande de consentement en évitant le jargon, les formulations complexes…

Le consentement doit être spécifique. La demande de consentement doit donc être granulaire ; pour chaque finalité différente, un consentement différent doit être demandé. La demande de consentement ne peut pas non plus être noyée dans les conditions générales. Un exemple de finalité : la prospection commerciale directe

On le voit, les exigences du RGPD en termes de consentement sont particulièrement strictes, une quantité d’informations plus importante doit être communiquée à la personne concernée.

Les informations énumérées ci-après doivent au minimum être fournies :

  • L’identité du responsable du traitement : informations nécessaires à l’identification du responsable ainsi que de toutes les personnes susceptibles de recevoir les données

  • Les buts des traitements : information claire, traitement par traitement, sur ce qui sera fait des données.

  • Les activités de traitement qui seront effectuées : information traitement par traitement à moins que les traitements soient indépendants.

  • Le droit de retirer le consentement à tout moment ainsi que la manière de le faire

« Trop d’information peut tuer l’information » : le fait de noyer la personne concernée sous les informations peut mener à l’effet inverse de celui qui est concerné par le règlement. Au moment de l’obtention du consentement, seule l’information pertinente doit être communiquée. Le RGPD précise que lorsque le consentement est donné de manière électronique, l’information doit être fournie de manière concise et ne pas impacter négativement l’utilisation du service.

La preuve du consentement

C’est au responsable du traitement d’apporter la preuve du consentement. Le texte ne précise toutefois pas comment cette preuve peut être rapportée. Il est d’usage de considérer le « date stamp » de la collecte comme une preuve suffisante : date, heure, URL de collecte, IP d’origine. La difficulté est d’apporter la preuve que toutes les mentions légales figuraient bien au moment de la collecte.

La solution proposée par Actito consiste à enregistrer le contexte du consentement : à savoir le moment précis de la collecte, la source ainsi que les informations qui ont été communiquées à la personne concernée au moment de l’obtention du consentement.

Le double Opt-in

Il est parfois supposé que le double optin serait la seule manière de garantir un consentement valable au sens du RGPD. C’est totalement faux : cette exigence ne figure pas dans le texte. Le même débat fut lancé en 2004 et la Commission Nationale de l'Informatique et des Libertés (CNIL) n’a jamais imposé cette méthode de recueil du consentement à la prospection par email.

Le consentement des mineurs d’âge

Le RGPD indique que, pour les services de la société de l’information, le consentement des mineurs d’âge de moins de 16 ans (moins de 15 ans en France) ne peut être collecté qu’avec l’accord des parents.

Le responsable de traitement devra donc, tenant compte des possibilités techniques, s’assurer de l’âge des personnes.

Quid des « anciens » consentements ?

En principe, si les conditions décrites plus haut lors de la collecte du consentement ont été respectées, il n’est nul besoin d’obtenir un nouveau consentement (le préambule 171 du RGPD prévoit que, lorsque le traitement est fondé sur le consentement conformément à la directive 95/46/EC, il est conforme au RGPD).

Toutefois, la preuve des conditions dans lesquelles le consentement a été collecté sera souvent difficile à apporter. Dans ce cas, il peut être utile de contacter les personnes concernées en vue de les inviter à réitérer la demande de consentement. On décrit plus bas comment Actito peut vous y aider.

Retrait du consentement

La personne concernée doit, à tout moment, pouvoir retirer son consentement au traitement de ses données. Le RGPD indique que ce retrait doit pouvoir s’effectuer par le même canal que celui par lequel le consentement a été donné. Si, par exemple, le consentement a été donné au travers d’un site web, la personne doit pouvoir le retirer via un « preference center » accessible sur le web.

Comment Actito vous permet de collecter un consentement valable et à en apporter la preuve ?

Nous vous proposons ici une application pratique des principes figurant ci-dessus. Actito offre en effet un ensemble d’outils qui vous permettent de vous conformer aux exigences du RGPD. Le module « Formulaires et Pages » d’Actito permet ainsi de construire facilement un formulaire qui répond aux exigences légales et de conserver une preuve du consentement. En particulier, le modèle de formulaire Preference Center offre les éléments nécessaires pour la captation d’un consentement conforme en mettant en place un système d’information par « couches » (layered consent). Les informations principales sont disponibles sur la première page du formulaire. Un lien vers la politique de vie privée reprenant l’ensemble des informations requises est directement applicable dans le formulaire. La base de données de contacts Actito est ensuite enrichie avec les données du formulaire ainsi que le moment auquel le consentement est donné. La preuve du consentement peut être rapportée par référence au formulaire. Il est ainsi possible de retrouver exactement les conditions qui ont été soumises à la personne concernée.

A propos de l'auteur

benoit-de-nayer-actito

Benoît De Nayer

Co-CEO

Benoît est le co-fondateur et co-CEO d'Actito. Depuis 2000, il développe la stratégie produit de la société avec humour et perspicacité. Il a débuté sa carrière en tant qu’avocat et chercheur en droit du consommateur à l’Université Catholique de Louvain (Belgique). Il est titulaire d’un master en droit de l’UCL et d’un master en droit fiscal de l’Université Libre de Bruxelles. Passionné par le monde juridique, le RGPD n'a pas de secret pour lui.