RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

1. Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

 

2. Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

 

3. Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

• l’identité du responsable du traitement ;
• les finalités poursuivies ;
• les catégories de données collectées ;
• l’existence d’un droit de retrait du consentement ;
• selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

4. Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

• les cases pré-cochées ou pré-activées
• les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
• l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

[lire la suite]

RGPD Spécial consentement (1/5) : Qu’est-ce que le consentement ?

RGPD Spécial consentement (2/5) : Le consentement des personnes doit-il être systématiquement recueilli ?

RGPD Spécial consentement (3/5) : Quel sont les critères de validité du consentement ?

RGPD Spécial consentement (4/5) : Que change le RGPD ?

RGPD Spécial consentement (5/5) : Le consentement doit-il être à nouveau recueilli avec le RGPD ?