Mis à jour le 20 Déc 2022
Le Règlement Général sur la Protection des Données, en vigueur depuis le 25 mai dernier, crée de nouvelles obligations à la charge des entreprises. Il renforce considérablement les exigences relatives au recueil du consentement des personnes. Retrouvez les conseils de notre cabinet d’avocats en protection des données personnelles concernant le recueil du consentement RGPD.
1. Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (ou RGPD) est une législation européenne sur la protection des données personnelles. Elle s’applique à de très nombreux organismes, qu’ils soient établis ou non sur le territoire de l’Union européenne. Ces organismes doivent souvent réaliser de multiples changements internes afin de se mettre en conformité. A défaut, la Cnil peut prononcer de très lourdes sanctions (jusque 20 millions d’amende).
Pour comprendre les enjeux du RGPD, nous vous invitons à regarder notre vidéo :
Deshoulières Avocats, cabinet expert en droit des nouvelles technologies, vous accompagne à chaque étape de votre mise en conformité RGPD grâce à notre méthodologie éprouvée en 20 étapes.
2. Recueil du consentement RGPD : quelles sont les règles ?
L’un des points forts du RGPD est le renforcement considérable des exigences relatives au recueil de consentement RGPD des individus. Le consentement doit être :
- Spécifique : Le consentement de l’utilisateur doit être recueilli pour une finalité donnée. S’il y a plusieurs finalités, l’utilisateur doit pouvoir choisir de donner ou non son consentement distinctement pour chacun de ces finalités.
- Libre : L’utilisateur doit pouvoir donner ou non son consentement sans subir de conséquences. Il doit de plus pouvoir retirer son consentement à tout moment, selon les mêmes modalités que lorsqu’il a donné son consentement.
- Eclairé : La demande de consentement doit être formulée de manière concise et compréhensible. L’utilisateur ne doit pas être induit en erreur par l’usage du conditionnel ou de termes trop juridiques par exemple. De plus, la demande de consentement doit informer l’utilisateur de ses droits RGPD et contenir les mentions légales RGPD obligatoires. La personne ne doit pas avoir à chercher l’information.
- Univoque : Le consentement doit provenir d’un acte positif, par exemple une case à cocher. Autrement dit, on ne peut pas déduire de consentement du silence ou de l’inactivité de la personne. Une case cochée par défaut par exemple ne constitue pas un recueil du consentement RGPD valide. Il existe cependant une exception pour l’emailing B2B qui bénéfice d’un régime dérogatoire d’opt-out.
Deshoulières Avocats rédige pour vous vos documents informatifs et contractuels. Le cas échéant, nous vous délivrons une attestation de conformité RGPD opposable à la Cnil.
3. Recueil du consentement RGPD : les règles spécifiques
Il existe des conditions particulières concernant le recueil du consentement RGPD dans certaines situations :
- Recueil du consentement RGPD des mineurs de moins de 16 ans : Dans cette situation, vous devez non seulement recueillir le consentement du mineur mais aussi celui du titulaire de l’autorité parentale. Selon les Etats membres, l’âge peut varier entre 13 et 16 ans.
- Recueil du consentement RGPD en cas de risque sérieux pour la protection des données : Lorsqu’il existe un risque sérieux quant à la protection des données de la personne, le RGPD impose de recueillir un consentement explicite. Il s’agit par exemple des cas où des données sensibles telles que des données relatives à l’état de santé sont collectées, ou encore lorsqu’il existe une prise de décision entièrement automatisée. Dans ces cas, il faut attirer l’attention particulière de la personne sur ces risques. Vous pouvez par exemple prévoir un formulaire de consentement RGPD dédié à la collecte des données en question.
Deshoulières Avocats possède un niveau d’expertise élevé en protection des données personnelles. Nous identifions avec vous les cas où vous devez mettre en place les règles spécifiques de recueil du consentement RGPD et rédigeons pour vous des formulaires adaptés.
4. RGPD : formulaire de consentement conforme
Pour être conforme, vous devez donc adapter votre formulaire de consentement RGPD. Les règles de recueil du consentement RGPD précités nécessitent de porter une attention particulière à la rédaction de vos demandes de consentement.
Vous devez tout d’abord identifier chaque finalité de votre traitement. Chaque finalité doit faire l’objet d’un recueil de consentement RGPD distinct. Ainsi, si vous utilisez un système de case à cocher, vous devrez multiplier les cases à cocher pour que chacun corresponde à une finalité unique. Pour que le consentement soit libre, les cases ne doivent pas être cochées par défaut. En outre, il faut aussi créer un formulaire de consentement RGPD spécifique si votre traitement concerne l’un des cas particuliers.
De plus, vous devez expliquer à l’utilisateur de manière simple et concise pourquoi vous collectez ses données et les conséquences d’une telle collecte. Comme expliqué précédemment, le recueil du consentement RGPD se combine avec une obligation d’information. Un certain nombre de mentions doivent donc apparaître, notamment les droits RGPD de la personne.
L’information délivrée doit être complète, mais aussi transparente. Pour cela, la Cnil recommande fortement de prioriser l’information. Cette étape peut être délicate à mettre en œuvre. Vous pouvez faire appel à un professionnel tel qu’un Délégué à la Protection des Données (ou DPO). Deshoulières Avocats peut remplir ce rôle. Notre cabinet d’experts intervient en effet auprès de nombreuses entreprises en tant que DPO externe.
5. Comment documenter le recueil du consentement RGPD ?
Vous devez impérativement conserver la preuve du recueil de consentement RGPD. En effet, le RGPD vous oblige désormais à conserver toutes les preuves de votre conformité. Vous devez donc tenir un registre des consentements. Cette documentation doit pouvoir démontrer le respect des règles relatives au recueil du consentement RGPD précitées (consentement libre, spécifique, éclairé et univoque).
Par ailleurs, selon la Cnil, la preuve du consentement doit contenir trois éléments :
- Qui a consenti
- Ce à quoi la personne a consenti.
- Le moment où elle a donné son consentement
L’horodatage informatique du recueil du consentement est considéré comme un moyen valide d’établir une telle preuve. Deshoulières Avocats procède à l’horodatage informatique de vos documents et vous fournit une attestation de conformité RGPD opposable à la Cnil.
Deshoulières Avocats, cabinet expert en droit de la protection des données, intervient auprès de nombreux clients pour leur mise en conformité RGPD. Nous rédigeons pour vous vos documents informatifs et contractuels, notamment vos formulaires de recueil du consentement.
REFERENCES :
- Recueil du consentement RGPD : texte officiel du RGPD
- Site de la Cnil