La CNIL conseille sur les modalités de recueil de consentement

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Actualités CNIL du 3 août 2018, Conformité RGPD : comment recueillir le consentement des personnes ?

L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude.

Ce qu’il faut retenir : L’entrée en application du RGPD a été très médiatisée. Parmi les nouvelles obligations de ce texte historique, les dispositions relatives au consentement sont certainement celles qui ont provoqué le plus d’inquiétude. Si le RGPD prévoit qu’un consentement obtenu et recueilli avant son entrée en application peut demeurer valide, encore faut-il qu’il soit conforme aux dispositions désormais prévues par le RGPD à savoir un acte positif :

  • Libre ;
  • Éclairé ;
  • Spécifique ;
  • Univoque. 

Pour approfondir :

1. Si le RGPD n’est pas particulièrement bouleversant en matière de consentement, les dispositions qu’il contient complètent et précisent les modalités dans lesquelles un consentement doit être recueilli. Le texte prévoit également qu’un responsable de traitement doit toujours être en mesure de prouver le consentement qui lui a été donné.

2. Dès lors, beaucoup d’entreprises ont fait le constat, d’une part, que les données qu’elles détiennent n’ont pas toujours été précédées du consentement de la personne concernée, et, d’autre part, que lorsque le consentement a été recueilli, elles n’en ont pas gardé de preuve. En conséquence, toutes ont eu la crainte de perdre l’ensemble de leur base de données si elles devaient solliciter (à nouveau) le consentement des personnes concernées. En effet, d’après plusieurs études, une campagne de mailing ayant pour objet de solliciter un consentement ne ferait l’objet d’un taux de réussite que de 5 à 7 %.

3. Toutefois, il est important de rappeler qu’une nouvelle sollicitation des personnes concernées n’est à envisager que dans certains cas uniquement. Tout d’abord, toutes les données contenues dans les bases de données ne sont pas toutes soumises à l’obligation de détenir un consentement, celui-ci étant l’une des bases légales prévues par le RGPD. Les entreprises peuvent s’appuyer sur une autre base légale pour poursuivre leur traitement, comme par exemple exécution d’un contrat ou leurs intérêts légitimes.

4. De plus, même lorsque le consentement est obligatoire et qu’aucune autre base juridique ne peut être invoquée, il est important de distinguer plusieurs cas. En effet, le RGPD ne modifie pas les dispositions du code des postes et des communications électroniques encadrant la prospection par voie électronique. Même après l’entrée en application du RGPD, les entreprises peuvent continuer à traiter les données de leurs clients afin de leur envoyer des sollicitations commerciales dès lors que ces dernières concernent des produits ou services similaires à ceux ayant été consommés par leurs clients sans qu’il n’ait besoin d’un consentement spécifique.

5. Il est également important de rappeler que le consentement peut se manifester au travers du comportement de la personne concernée. À titre d’exemple, une base de données constituée uniquement à des fins d’envoi d’actualités/newsletters, ne devrait pas faire l’objet d’une campagne de recueil de consentement si l’ensemble des coordonnées des personnes figurant dans cette base a été communiqué par la personne concernée elle-même et à son initiative en s’inscrivant à la newsletter.

6. Pour tous les autres cas où le recueil de consentement doit être réalisé à nouveau ou mis à jour, les responsables de traitement de bonne foi ont du mal à interpréter les quatre critères cumulatifs que doit respecter le consentement. Dans son communiqué de presse, la CNIL a entendu les aider dans leur compréhension. À ce titre, la CNIL a précisé quels étaient les attentes pour respecter ces critères.

7. S’agissant du caractère libre du consentement, la CNIL précise que celui-ci ne doit ni être influencé, ni être contraint. Autrement dit, la personne concernée doit véritablement avoir un choix sans avoir à subir de conséquences négatives en cas de refus. La CNIL prend comme exemple le cas des opérateurs de téléphonie mobile et explique que dans ce contexte, le consentement est considéré comme libre si le refus du client n’impacte pas la fourniture du service de téléphonie mobile.

8. S’agissant du caractère spécifique, la CNIL précise qu’il faut comprendre que le consentement doit être spécifique à un traitement et à une finalité déterminée. Dès lors, si un traitement poursuit plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour chacune de ces finalités.

9. S’agissant du caractère éclairé, la CNIL indique que pour que le consentement soit valide, il doit être accompagné d’un certain nombre d’informations, et notamment : l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données puissent être utilisées dans le cas de décisions individuelles automatisées ou qu’elle feront l’objet d’un transfert vers un pays en dehors de l’Union européenne.

10. Enfin, s’agissant du caractère univoque du consentement, la CNIL rappelle ici que le consentement doit toujours être donné par un acte positif clair et qu’aucune ambiguïté ne doit subsister. Dès lors, les cases pré-cochées ou pré-activées ou encore les consentements « groupés » sont à bannir.

A rapprocher : Article 7 du Règlement Général sur la Protection des Données

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.