RGPD : comment recueillir le consentement des personnes ?

Dans de nombreux domaines d’activité, la manipulation des données personnelles des clients est inévitable. En raison de la sensibilité que cela présente, la Commission nationale de l’informatique et des libertés (CNIL) a instauré des dispositions règlementaires strictes. L’une d’entre elles concerne les modalités de recueil du consentement des personnes à qui appartiennent ces informations. Privacy Praxis explique ici comment procéder.

Comment se matérialise le consentement ?

Le consentement fait partie des six bases légales que le RGPD a prévues dans les modalités de traitement des données à caractère personnel. Il prend la forme d’une manifestation de volonté à travers laquelle une personne accepte que ses données personnelles soient traitées dans le cadre d’une prestation. La manifestation de volonté peut se présenter sous forme d’un acte positif clair ou sous forme une déclaration.

Le consentement est-il obligatoire ?

En dehors du consentement, il existe cinq autres bases légales offrant la possibilité de mettre en œuvre le traitement de données ayant un caractère personnel. Il s’agit :

• de l’obligation légale,
• du contrat,
• de la mission d’intérêt public,
• de la sauvegarde des intérêts vitaux,
• de l’intérêt légitime.

Quand les responsables de traitement s’appuient légalement sur l’une de ces bases pour procéder à une manipulation de données, la demande de consentement n’est pas obligatoire. La situation et la nature du traitement doivent toutefois être adaptées à la base légale qui est utilisée. Dans le cas contraire, les sanctions en cas de non-respect du RGPD peuvent être préjudiciables.

La personne doit consentir au traitement si ses données sont utilisées dans le cadre d’une prospection commerciale par courriel. En revanche, cela n’est pas nécessaire si les sollicitations commerciales portent sur des produits ou des services semblables que les clients ont volontairement consommés au préalable. Les traitements qui se font sur des données jugées non sensibles ne requièrent pas un recueil de consentement.

Comment peut-on obtenir le consentement ?

Pour obtenir le consentement des clients, les responsables de traitements peuvent mettre en œuvre différents moyens légaux. Ils peuvent par exemple procéder par l’envoi d’un courriel. L’intéressé devra ensuite répondre pour confirmer son accord. Dans le cadre de services en ligne, il est recommandé de prévoir une case de recueil du consentement. C’est indispensable si les traitements doivent porter sur les données sensibles RGPD et autres informations à caractère confidentiel.

Le recueil de consentement peut également se faire par l’exigence d’une déclaration écrite et signée par le client. L’intéressé peut aussi accepter le traitement de certaines données en envoyant un courriel qui l’indique expressément.

Quelles conditions doit remplir une demande de consentement ?

Pour être recevable, le consentement doit remplir quatre critères cumulatifs. Il doit être libre, spécifique, éclairé et univoque. Le caractère libre du consentement suppose qu’il ne doit pas être recueilli sous contrainte ou de manière influencée. La personne concernée doit réellement avoir le choix sans qu’il y ait de conséquences négatives pour lui en cas de refus. Le caractère spécifique d’un consentement suppose que chaque accord donné par le client doit correspondre à un seul traitement, et pour une finalité précise. Dans le cas où les objectifs poursuivis par les responsables de traitements sont multiples, les clients doivent être en mesure de consentir indépendamment pour chaque utilisation.

Pour qu’un consentement soit éclairé, l’acte de demande doit comporter des informations obligatoires qui permettront aux intéressés de faire un choix avisé. Le client doit en effet connaître le responsable du traitement, les finalités de la démarche et la nature des données qui sont collectées. Il a également besoin d’être renseigné sur les modalités de retrait de son consentement.

Le caractère univoque de l’accord suppose que ce dernier doit être donné de manière claire et explicite. Cela se fait par une déclaration ou tout acte positif qui ne laissent planer aucun doute sur les intentions de l’intéressé. Avec le RGPD, les responsables de traitements doivent désormais être en mesure de fournir une preuve de consentement. Il est par ailleurs impératif de mettre en place une démarche simple pour laisser aux personnes qui le souhaitent, la possibilité de retirer leur consentement.

Quelles sont les données non soumises au consentement ?

Le RGPD a mis en place un cadre flexible qui ne nécessite pas systématiquement le recueil de consentement sur tous les types de données. Les informations qui ne permettent pas d’identifier directement un individu peuvent par exemple être traitées sans la nécessité d’avoir un accord préalable des personnes concernées.

Doit-on obligatoirement désigner un Délégué à la Protection (DPO/DPD) ?

L’obligation de désigner un délégué à la protection des données dépend de la nature des données traitées. Cette démarche ne s’impose pas systématiquement à toutes les structures qui traitent des données à caractère personnel. Elle devient obligatoire quand une association traite des données sensibles comme les numéros de sécurité sociale et les certificats médicaux. Il faut aussi désigner un DPO uniquement quand le traitement se fait à grande échelle. Cela s’impose aussi pour les traitements d’une grande quantité de données personnelles qui nécessitent un suivi régulier et systématique.

Doit-on répertorier l’ensemble des données personnelles dans un registre de traitement ?

Pour une association qui compte moins de 250 employés, il n’est pas nécessaire de répertorier les données personnelles traitées dans un registre de traitement. C’est toutefois recommandé pour faciliter la gestion de ces informations. L’adoption d’un registre de traitement devient obligatoire quand les traitements portent sur deux types de données. La première catégorie concerne les données qui présentent un risque élevé pour les droits et les libertés des personnes, en l’occurrence les données médicales.

La deuxième catégorie regroupe les données sensibles, les condamnations ainsi que les infractions pénales. Le registre des traitements doit comporter les différentes manipulations effectuées sur les données, leur durée de conservation ainsi que les différents modes d’archivage. Il est possible d’ajouter des rubriques qui permettent de mieux s’organiser au sein de la structure.

S’assurer que les données personnelles des clients sont protégées est l’une des spécificités de Privacy Praxis. Ce cabinet de conseil en protection des données est en mesure les meilleurs services en matière d’analyses de risques et de mises en conformité des données.