Le consentement dans le RGPD : definition et exigences
Le consentement est defini a l’article 4 du RGPD comme toute manifestation de volonte, libre, specifique, eclaire et univoque par laquelle la personne concernee accepte, par une declaration ou par un acte positif clair, que des donnees personnelles la concernant fassent l’objet d’un traitement. Chacune de ces quatre conditions est cumulative et doit etre remplie pour que le consentement soit valide.
Le consentement n’est qu’une des six bases legales prevues par le RGPD pour legitimer un traitement de donnees personnelles. Il n’est pas toujours la base legale la plus appropriee, notamment dans les relations employeur-salarie ou la liberte du consentement peut etre remise en question en raison du lien de subordination.
Les quatre conditions du consentement valide
Le consentement doit etre libre : la personne ne doit subir aucune pression, aucune consequence negative en cas de refus, et ne doit pas etre contrainte de consentir pour acceder a un service qui ne necessite pas le traitement en question. Le RGPD interdit le « couplage » entre l’acceptation des conditions generales et le consentement a des traitements non necessaires a l’execution du contrat.
Le consentement doit etre specifique : un consentement global pour un ensemble de traitements differents n’est pas valide. Chaque finalite de traitement doit faire l’objet d’un consentement distinct. L’utilisateur doit pouvoir accepter certains traitements et en refuser d’autres sans prejudice.
Le consentement doit etre eclaire : la personne doit disposer de toutes les informations necessaires avant de consentir. L’identite du responsable de traitement, les finalites du traitement, les categories de donnees collectees, les destinataires et les droits de la personne doivent etre communiques de maniere claire et comprehensible.
Le consentement doit etre univoque : il doit resulter d’un acte positif clair. Le silence, les cases pre-cochees ou l’inactivite ne constituent pas un consentement valide. La personne doit effectuer une action deliberee pour manifester son accord, comme cocher une case ou cliquer sur un bouton.
Le retrait du consentement
La personne doit pouvoir retirer son consentement a tout moment, avec la meme facilite qu’elle l’a donne. Si le consentement a ete recueilli par un simple clic, le retrait doit pouvoir s’effectuer de la meme maniere. Le retrait du consentement n’affecte pas la licéite du traitement effectue avant ce retrait.
L’information sur la possibilite de retirer son consentement doit etre delivree avant que la personne ne donne son consentement. Le mecanisme de retrait doit etre aisement accessible et ne pas necessiter de demarches disproportionnees.
La preuve du consentement
Le responsable de traitement doit etre en mesure de demontrer que la personne a consenti au traitement. Cette preuve doit documenter qui a consenti, quand le consentement a ete donne, quelle information a ete fournie a la personne, et par quel mecanisme le consentement a ete recueilli (formulaire, interface, declaration orale enregistree).
La conservation de la preuve du consentement est indispensable. Les plateformes de gestion du consentement (CMP) permettent d’automatiser la collecte et la conservation des preuves de consentement. En l’absence de preuve, le responsable de traitement ne peut pas demontrer la licéite du traitement.
