Que verrons-nous dans cet article ?
- Consentement de la personne concernée
- La définition du consentement
- Le consentement gratuitement
- Quelques exemples
- Pleine conscience
- Le consentement demandé et donné ?
- Retrait du consentement
- Prêter attention
Consentement de la personne concernée
Pour qu’une entreprise puisse traiter les données de ses utilisateurs/visiteurs, l’une des conditions mentionnées dans le RGPD (Règlement général sur la protection des données) doit être remplie. L’un des plus fréquents et des plus importants est le consentement de la personne concernée.
Vous pouvez en voir plus dans l’article : Données personnelles – Les bases
Comment le Consentement est-il défini ?
Selon l’article 4 du RGPD :
« Consentement » de la personne concernée : toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits de la personne concernée par laquelle elle signifie, au moyen d’une déclaration ou d’une action affirmative claire, son accord au traitement des données à caractère personnel la concernant.
Quand est-il donné gratuitement ?
Le Consentement est donné librement lorsque l’utilisateur à un choix vrai ou libre ou est en mesure de refuser ou de retirer son consentement sans lui causer de préjudice. En outre, le consentement du sujet n’a pas été donné librement lorsqu’il existe une inégalité entre le sujet et l’entreprise/l’entreprise, par exemple une relation employé/employeur.
Dans le même temps, elle n’est pas considérée comme gratuite quand elle est demandée pour des données à caractère personnel non essentielles sous le prétexte de la condition d’exécution d’un contrat ou de la prestation d’une prestation.
Quelques exemples
Une compagnie aérienne demande le consentement de ses clients afin qu’ils puissent participer au tirage au sort d’un concours avec des billets gratuits pour un vol à l’étranger.
Les clients qui ont validé la case pour indiquer qu’ils souhaitent participer au coché, il est clair qu’ils ont donné leur consentement au traitement de leurs données à cette fin.
Par conséquent, l’entreprise ne doit traiter leurs données qu’aux fins de la conduite de l’appel d’offres et non à d’autres fins.
Une entreprise/organisation propose des services de visionnage de films sur Internet.
Pour qu’une personne ait accès, elle doit faire une inscription, à laquelle, entre autres, l’orientation sexuelle et les convictions politiques de la personne sont demandées en tant que données.
Dans ce cas, si la personne concernée estime que ces données sont nécessaires à son enregistrement et finalement à l’exécution de son contrat avec cette société/organisation, l’octroi de son consentement n’est pas gratuit, mais il s’agit d’un consentement conditionnel.
Quand y a-t-il pleine conscience ?
La pleine connaissance est réputée exister lorsque la personne concernée a reçu avant le consentement au moins les informations suivantes :
- L’identité de la société/de l’entreprise qui traite les données.
- Les finalités du traitement.
- Le type de données à traiter par la société/l’entreprise.
- Le droit de retirer le consentement du sujet (par exemple sous la forme d’un lien de désabonnement à la fin d’une newsletter)
- Si le consentement concerne un transfert international, les risques de transfert de données vers des pays tiers pour lesquels la Commission n’a pas adopté de décision d’adéquation et pour lesquels des garanties appropriées ne sont pas prévues. (Pour plus d’informations sur la transmission ici)
📌 Rappel important !
Lorsque la personne concernée donne son consentement, la société/l’entreprise est tenue de n’effectuer que les opérations de traitement pour lesquelles la personne concernée a consenti. Dans le cas où il/elle souhaite poursuivre les opérations de traitement, il/elle doit demander à nouveau son consentement.
Comment le Consentement est-il demandé et donné ?
La demande de Consentement doit être formulée de manière claire, précise et simple afin que le sujet comprenne parfaitement le type de traitement auquel il consent.
Le Consentement peut être donné par une déclaration écrite, y compris par voie électronique, ou par une déclaration orale.
En particulier, il pourrait être donné en cochant une case lors de la visite d’un site web en ligne ou par toute déclaration ou comportement indiquant clairement, dans ce contexte, que la personne concernée accepte la proposition de traiter ses données personnelles.
En général, le silence, les cases pré-cochées ou l’inactivité ne doivent pas être interprétés comme un consentement.
Pour en savoir plus sur le consentement, consultez cette guide by the Information Commissioner’s Office.
La société/l’entreprise doit être en mesure de prouver à tout moment (par exemple par des documents, des enregistrements obtenus après la fourniture du consentement correspondant) que la personne concernée a donné le consentement approprié pour chaque opération de traitement de ses données.
Des dispositions particulières existent pour le consentement donné en cas de traitement des données personnelles des enfants. Pour plus d’informations sur Minos and GDPR.
Retrait du Consentement
La personne concernée a le droit de retirer son consentement au traitement de ses données à tout moment. Avant de donner son consentement, il doit être informé de cette possibilité par la société/l’entreprise qui traitera ses données.
Le retrait devrait être possible d’une manière aussi simple que de donner son consentement.
Bien entendu, le traitement des données qui a été effectué sur la base du consentement de l’individu dans la période précédant la révocation, ne perd pas sa légitimité.
Plus d’informations sur les droits de la personne dans l’article : Droits de la personne concernée
Alors, quoi l’entreprise/l’entreprise doit-elle prêter attention ?
Le consentement n’a pas été donné légalement lorsque :
- L’entreprise a des doutes quant à savoir si le consentement a été donné par le sujet.
- Le sujet n’a pas réalisé qu’il a donné son consentement.
- L’entreprise ne peut pas prouver que le sujet a consenti au traitement.
- La possibilité de libre choix n’a pas été donnée, de sorte que le sujet n’avait pas d’autre choix que de consentir.
- Le sujet serait désavantagé s’il refusait de donner son consentement.
- Il existe une relation claire d’inégalité entre l’entreprise/l’entreprise et le sujet.
- La demande de consentement n’était pas claire et sans ambiguïté.
- Dans la demande de consentement, il y avait des cases pré-cochées ou d’autres méthodes de consentement prédéfinies.
- Le sujet n’a pas été informé du droit de rétractation.
- Le retrait du consentement n’était pas facilement accessible.
- Les services et les finalités du traitement vont au-delà des raisons pour lesquelles le consentement a été donné.