Depuis le 25 mai 2018, le Règlement général européen sur la protection des données (RGPD) impose de recueillir le consentement de toute personne dont les données personnelles sont à traiter. L’obtention d’une preuve de consentement est devenue la condition préalable à cette action, et s’applique à l’ensemble des pays membres de l’Union Européenne ainsi que tous les acteurs numériques et entreprises.
Par quoi se traduit la preuve de consentement ?
L’expression du consentement se fait à travers une déclaration qui peut prendre différentes formes. Cette déclaration se doit d’être compréhensible, précise quant à la nature des données vouées à être traitées et tout cela aussi bien à l’écrit qu’à l’oral. Il est important que la déclaration du consentement soit la plus explicite possible et ne peut se référer qu’aux données pour lesquelles un consentement pour leur traitement est obligatoire. Ainsi la déclaration doit faire mention d’absolument toutes les informations relatives aux données susceptibles d’être traitées. C’est à dire leur nature, les risques qu’implique leur transfert ainsi que le déroulement et les conséquences du processus de traitement.
La déclaration de consentement se doit aussi d’être claire quant à l’objet du traitement de ces données en intégrant la totalité des informations à ce sujet.
Le fait que la personne concernée obtienne suffisamment d’informations sur le traitement de ses données et de ce fait soit pleinement consciente de sa nature permet une déclaration de consentement sans équivoque.
Un consentement se devant libre et spécifique
Il va de soi que la personne attendue à donner son consentement est impérativement libre dans son choix d’accepter ou bien de refuser que ses données personnelles soient traitées. C’est pour cela que la forme de la déclaration de consentement doit être appropriée, en effet il ne faut pas que celle-ci présente un consentement implicite dans ses termes ou l’impossibilité d’exprimer clairement son refus.
De plus, il doit être possible de retirer son consentement au moment souhaité sans que n’en découle le moindre préjudice pour avoir changé d’avis.
Dans l’optique que tout cela soit respecté et donc que le consentement soit libre il ne peut y avoir de relation hiérarchique entre les deux partis. En effet, il est largement préférable que ni le responsable du traitement ni la personne dont les données seront traitées n’ait plus de poids que l’autre dans sa fonction. Cela risquerait de constituer un détail extérieur à la déclaration qui pourrait influencer le consentement.
Le consentement se doit aussi d’être spécifique, c’est à dire de ne pas se rapporter à un service en général ce qui pourrait mener à un consentement implicite pour des pratiques non reconnues par la personne concernée.
Comment se déroule l’obtention du consentement ? Peut-on revenir sur sa décision ?
En cas de litige et pour éviter toute complication, il est fortement conseillé à l’entreprise ou la personne souhaitant utiliser des données de conserver la totalité des déclarations de consentement qu’elle a recueilli pour fournir la preuve de consentement si besoin. Elle doit alors garder un registre dans lequel se trouvent toutes les informations nécessaires comme celles qui ont été préalablement communiquées à la personne concernée ainsi que la date et la raison du consentement.
Le consentement est la condition ultime avant d’utiliser les données d’autrui et par conséquent régi l’ensemble du processus de traitement. Ainsi, il doit être possible et sans présenter de difficulté de retirer son consentement préalablement donné à tout moment. Retirer son consentement doit en fait être aussi simple que de le donner.
Le responsable du traitement des données doit d’ailleurs informer la personne concernée de la possibilité de retirer son consentement si elle le souhaite. Bien entendu cette information doit être donnée avant que cette personne donne son consentement.
Cette condition est-elle toujours respectée ?
Bien que l’instauration de cette nouvelle directive soit décrite comme l’innovation majeure du RGPD, la nécessité de l’obtention d’un consentement pour ce genre de pratique n’est pas systématique. En effet, cette procédure est sujette à plusieurs exceptions comme par exemple la fonction du responsable de traitement. Un professionnel de santé peut ainsi s’affranchir d’une déclaration de consentement si le traitement de données s’avère vital pour la personne concernée.
Cependant dans la grande majorité des cas l’obtention d’un consentement clair, spécifique et libre reste impérative et accomplie.
Vous souhaitez vous mettre en conformité avec le RGPD ? Veuillez consulter le site de RGPD Express.