Qu’est-ce que le consentement au sens du RGPD ?
Le consentement est l’une des six bases legales prevues par le RGPD pour autoriser le traitement de donnees personnelles. Il se definit comme toute manifestation de volonte, libre, specifique, eclairee et univoque par laquelle la personne concernee accepte que ses donnees soient traitees.
Le consentement n’est pas toujours obligatoire. Il existe cinq autres bases legales (contrat, obligation legale, interets vitaux, mission d’interet public, interet legitime) qui peuvent justifier un traitement sans recueillir le consentement. Neanmoins, pour de nombreux cas d’usage comme la prospection commerciale B2C, les cookies non essentiels ou les newsletters, le consentement reste incontournable.
Decouvrir DPO France
Les 4 conditions de validite du consentement RGPD
1. Un consentement libre
La personne ne doit subir aucune pression ni consequence negative en cas de refus. Le consentement ne peut pas etre une condition obligatoire pour acceder a un service si le traitement n’est pas necessaire a ce service. Par exemple, conditionner l’acces a un site web a l’acceptation de cookies publicitaires n’est pas un consentement libre.
2. Un consentement specifique
Chaque finalite de traitement doit faire l’objet d’un consentement distinct. Un consentement global couvrant plusieurs finalites differentes n’est pas valable. Si vous collectez des donnees pour envoyer une newsletter et pour de la prospection commerciale par des partenaires, deux cases distinctes doivent etre proposees.
3. Un consentement eclaire
Avant de donner son consentement, la personne doit recevoir une information claire et comprehensible. Cette information doit mentionner l’identite du responsable de traitement, les finalites du traitement, les categories de donnees collectees, le droit de retirer son consentement a tout moment, et le cas echeant, l’existence de transferts de donnees hors UE.
4. Un consentement univoque
Le consentement doit resulter d’un acte positif clair : cocher une case, cliquer sur un bouton, activer un parametre. Les cases pre-cochees, le silence ou l’inactivite ne constituent pas un consentement valide au sens du RGPD.
Decouvrir DPO Suite
Comment recueillir un consentement conforme ?
Pour etre conforme, le mecanisme de recueil doit proposer un choix reel entre accepter et refuser, sans case pre-cochee. L’action de consentir doit etre aussi simple que celle de refuser. Vous devez conserver la preuve du consentement : qui a consenti, quand, a quoi et par quel moyen. Le consentement doit pouvoir etre retire a tout moment, de maniere aussi simple qu’il a ete donne.
En pratique, pour un site web, cela passe par une banniere cookies conforme avec des boutons « Accepter » et « Refuser » de meme taille. Pour une newsletter, un formulaire d’inscription avec une case a cocher non pre-cochee accompagnee d’une mention d’information claire.
Consentement et cookies : les regles specifiques
Depuis les recommandations de la CNIL de 2020, le consentement est obligatoire pour tous les cookies non essentiels au fonctionnement du site. Cela inclut les cookies publicitaires, les traceurs de reseaux sociaux et les outils d’analyse d’audience non exemptes. Les cookies strictement necessaires (panier d’achat, authentification, preferences de langue) ne necessitent pas de consentement.
La CNIL exige que le refus des cookies soit aussi simple que leur acceptation. Continuer la navigation sans cliquer ne vaut pas consentement. La duree de validite du consentement aux cookies est de 13 mois maximum, apres quoi il faut le recueillir a nouveau.
Les sanctions en cas de non-respect du consentement
Le non-respect des regles relatives au consentement expose les organismes a des sanctions significatives de la CNIL. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. En France, plusieurs entreprises ont ete sanctionnees pour des manquements lies au consentement, notamment pour des bannieres cookies non conformes ou une collecte de donnees sans consentement valide.
Quand le consentement n’est pas la bonne base legale
Le consentement n’est pas adapte a toutes les situations. Si le traitement est necessaire a l’execution d’un contrat, la base legale contractuelle est plus appropriee. Pour les traitements imposes par la loi (declarations fiscales, conservation de factures), l’obligation legale s’applique. Pour la prospection B2B entre professionnels, l’interet legitime peut etre invoque sous certaines conditions.
Choisir le consentement alors qu’une autre base legale serait plus adaptee peut creer des difficultes operationnelles, car la personne peut retirer son consentement a tout moment.
Decouvrir Focus RGPD
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
