Blog
RGPD (GDPR) : Comment Enregistrer Le Consentement Des Personnes?

RGPD (GDPR) : comment enregistrer le consentement des personnes?

Coup d’œil :

=> Pourquoi le consentement des personnes est important

=> Définition du consentement

=> Une idée pour votre activité, choisir un chemin différent.

=> Comment enregistrer un consentement licite ?

=> Forme du consentement, comment le présenter ?

=> Comment prouver que vous avez recueilli un consentement valable ?

=> Autres conséquences du consentement sur les droits de la personne.

Pourquoi le consentement des personnes dont vous recueillez les données est important?

Rappel :

En Europe, la protection des données à caractère personnel des personnes physiques est un droit fondamental inscrit dans des textes importants[1]

Sous le nouveau régime de protection de la vie privée, le consentement est l’une des 6 bases légales vous autorisant à traiter, analyser les données de vos clients[2]

=> L’arrivée d’un nouveau Règlement important est l’occasion pour votre PME, TPE, votre start-up, votre activité indépendante de vérifier les procédures existantes, de les mettre à jour, de les cartographier, d’inclure votre politique de protection des données personnelles dans votre plan de cybersécurité général.

=> Cyber-sécurité et protection des données personnelles sont liés puisque vous avez l’obligation de protéger vos données par des  » mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité́adaptéau risque  » [4]

=> Si l’utilisation du consentement n’était pas possible dans votre cas, sachez quil existe 5 autres possibilités de traitement licite des données personnelles. Par exemple, en tant qu’employeur, le consentement de vos employés ne sera peut-être pas donné librement comme l’exige la loi

Le consentement n’est pas toujours nécessaire

  • Ce n’est pas toujours le moyen le plus facile ou le plus approprié à votre activité. Dans ce cas, choisissez toujours la procédure qui reflète le mieux votre relation avec vos clients et le but du traitement des données personnelles. [5]
  • Dans le cas de données sensibles (telles les données biométriques, les opinions politiques, la religion pratiquée…), il existe 9 possibilités de traitement dont le consentement [6]
  • Le consentement est nécessaire pour légitimer l’utilisation des données dans certaines conditions (transfert des données hors Europe vers pays jugé non adéquat par la Commission , décision automatique sur la base des données…)
  • Le consentement est le plus sûr moyen pour votre entreprise d’assurer la transparence et l’éthique dans votre utilisation des données personnelles, à condition qu’il soit recueilli de façon licite, en accord avec les règles et principes
  • Il est important pour votre réputation et aussi pour éviter des pénalités importantes [7] que votre police de vie privée, que vos conditions affichées sur votre site, donnent des informations en conformité avec le droit européen (et national pour certaines conditions particulières).
  • Vous ne pouvez pas vous permettre d’afficher des polices incomplètes, voire illégales comme hélas on en voit encore beaucoup trop souvent sur internet.

Vous perdez la confiance de vos prospects et renvoyez l’image d’un manque de rigueur.

Définition du consentement

  » toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;  » [8]

ATTENTION : La nouvelle règlementation, qui prendra effet dès le 25 mai 2018, est plus stricte que le régime existant.

Le consentement doit être

  • donné librement
  • spécifique et informé
  • une manifestation sans ambiguïté, par une déclaration ou une action claire.

Des conditions complémentaires [9] sont ajoutées :

  • Il faut garder un enregistrement du consentement
  • La demande de consentement doit être séparée et claire
  • Droit de retirer le consentement à tout moment, facilement
  • S’assurer que le consentement au recueil et traitement de données personnelles, dans le cadre d’un contrat de fourniture de biens ou de services, ne porte que sur ce que ce qui est strictement nécessaire à l’exécution d’un contrat

=> Je vois encore beaucoup trop de sites, à destination du marché européen, qui ne remplissent pas les critères de protection de la vie privée du RGPD (ni même les critères de l’ancien régime de protection de la vie privée d’ailleurs…)

=> Ces entreprises ne désirent pas en fait favoriser la protection de la vie privée de leurs clients ou ne considèrent même pas que c’est un sujet important.

=> Le client devient juste une source de données qui ont de la valeur pour l’entreprise.

Mais quelle entreprise s’inquiète de la valeur apportée au client qui donne ses informations personnelles?

 Il est erroné de croire que les clients ne tiennent pas à leur vie privée.

Toutes les études prouvent que les personnes s’inquiètent de savoir où vont leurs informations à caractère personnel.

  • Selon une large étude faite en Europe [10] :
  • 78 % des répondants veulent qu’on leur demande l’autorisation d’accéder à leurs informations à caractère personnel.
  • 72 % veulent que la confidentialité de leurs communications soit garantie
  • 89 % veulent une protection de leur vie privée par défaut, c’est-à-dire que le design, le processus de récolte des données personnelles devrait prévoir que les informations à caractère privé ne sont pas échangées sans leur consentement exprès.

! Une IDÉE : pour rêver…

Pourquoi ne pas choisir un chemin radicalement différent de la masse des entreprises?

Choisir une nouvelle éthique du traitement de la vie privées des personnes utilisant les biens ou services que vous offrez, des personnes qui contribuent au développement de votre activité (employés, sous-traitants, fournisseurs…)

=> et si vous choisissiez de suivre, non pas le minimum légal imposé, mais la meilleure et la plus transparente façon de récolter, protéger, analyser les données personnelles que vos clients ou partenaires ont l’obligeance de partager avec vous ?

=> et si votre entreprise utilisait le consentement éclairé de vos clients comme un avantage compétitif sur votre concurrence moins respectueuse ou offrant seulement les informations minimales à leurs clients ?

=> et si votre attitude transparente sur la façon dont vous collectez et utilisez les données personnelles dans votre entreprise devenait la base d’un échange de confiance avec vos clients ?

  • Vous collectez et analysez leurs données personnelles dans le respect de normes légales et éthiques claires
  • Votre entreprise donne ainsi une chance à ses clients de faire le choix de donner des données exactes et plus utiles en échange d’un service ou de produits mieux adaptés à leur demande, leurs besoins.
  • Votre entreprise démontre qu’elle est transparente, responsable en donnant aux clients le contrôle sur la façon dont sont utilisées les données
  • Les personnes sont replacées au centre de votre activité par un service HORS DU COMMUN.
  • QUEL BEL ARGUMENT COMMERCIAL de voir des entreprises parler un langage clair sur leurs besoins d’analyser des données personnelles dans un but clairement affiché et ACCEPTÉ par les clients

=> Pour les clients, dont nous sommes Tous, cela serait la fin de ce sentiment de traçage, profilage, évaluations constantes de nos actions sur internet mais aussi en dehors, dans notre vie physique, par la multitude d’objets connectés existante et annoncée.

Comment enregistrer un consentement licite?

L’enregistrement du consentement doit avoir une base légale et respecter des conditions de forme, de présentation à vos clients.

=> Seules 6 bases légales [11] sont admises pour pouvoir collecter et analyser des données personnelles, le consentement est la base qui donne le plus de pouvoir à la personne

=> Cas particulier :

  • si la personne est dans une position affaiblie, dans l’impossibilité de dire non dans le contexte de la demande [12], il se peut que la validité du consentement soit contestable.
  • Ceci est à considérer dans vos relations employeur-employé [13] .
  • Si vous ne pouvez assurer que la personne est totalement libre de son choix, n’utilisez pas le consentement comme base licite.
  • Si vous ne pouvez justifier votre enregistrement de données personnelles sur l’une des bases licites, vous êtes dans l’illégalité et êtes exposés à de fortes pénalités. [14]
  • Je constate des excès dans la collecte de données personnelles par des sociétés qui utilisent une formulation vague sur le traitement qu’elles vont utiliser « pour rendre votre expérience utilisateur plus agréable »

QUOI ?? cela ne veut strictement rien dire et ce n’est pas du tout ce qu’entend le droit européen.

Le problème est que dans de nombreux États hors Europe, la vie privée n’est pas un droit ou n’est pas protégée à un niveau respectueux des liberté civiles.

Cependant, si des sociétés de ces pays désirent offrir leurs biens ou services vers le territoire européen, à des personnes résidant dans l’Union Européenne, même si ces sociétés n’ont pas d’établissement formel dans l’Union Européenne, elles seront soumises au RGPD.

Formes du consentement: comment présenter votre demande, que doit-elle contenir?

  • Il est nécessaire que le consentement soit enregistré par un « acte positif clair [15] « 

Exemple pratique de consentement par une action de la personne : [16]

  • Lors d’un salon professionnel, vous organisez un concours et demandez aux participants de glisser leur carte professionnelle dans une urne.
  • C’est bien un acte positif clair
  • MAIS cela ne signifie que l’accord de la personne à figurer sur votre liste pour être candidat au prix offert dans le cadre de CE concours. (une seule finalité par consentement)
  • Cela ne signifie pas que vous pouvez utiliser ses données personnelles pour d’autres finalités (marketing, envoi de lettre d’information…)

=> Cela signifie que vous ne devez pas utiliser des cases pré-cochées pour faire accepter le recueil de données, par des cookies par exemple

=> Le silence de l’utilisateur de votre site, de votre client qui continuerait à utiliser votre site sans faire une action clairement positive (cliquer, répondre oui, lire les conditions et cocher une case …) n’est en aucun cas un consentement sous le nouveau régime du RGPD.

Je vois souvent encore la mention :

« si vous continuez à naviguer sur notre site, nous considérons que vous acceptez notre politique de cookies » = de recueil de données personnelles

Cette mention jouait sur une définition plus vague de l’ancien régime de protection de la vie privée, valable encore jusqu’au 25 mai 2018.

  • Cela ne passera plus sous le nouveau régime plus strict du consentement, le fait de continuer à naviguer sur le site pourrait simplement signifier que la personne n’a pas vu ou lu la demande du site au sujet des cookies

La demande d’autorisation de collecte de données personnelles doit être

  • claire et concise
  • bien en vue
  • attirez l’attention des personnes vers cette demande
  • séparée de toute autre mention, conditions générales de vente ou d’utilisation
  • courte
  • facile à comprendre en langage courant, pas de double négation par exemple
  • facile à utiliser

=> attention au cas particulier des enfants de moins de 16 ans ! (Chaque État Membre peut décider d’une autre limite mais jamais en dessous de 13 ans)

> selon votre activité, ( la prévention ou le conseil proposés directement à un enfant sont exemptés), il faudra rechercher l’accord parental si vous choisissez le consentement comme base légale de votre traitement de données.

> si votre activité est dirigée vers le public des enfants, [17] vous devrez mettre en place des vérifications appropriées pour obtenir un accord parental

 

Contenu de la demande de consentement

  • Nom du contrôleur (celui qui recueille les données ou qui est responsable de leur traitement)
  • But de la collecte et du traitement
  • Type de traitement qui va être utilisé
  • Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités.
  • La personne doit donner son consentement pour CHAQUE finalité du traitement
  • cela signifie que vous ne pouvez demander un consentement pour un but trop large, trop vague
    • chacune des utilisations des données personnelles de la personne devra être approuvée.
  • 1 finalité de traitement = 1 consentement
    • 1 seul consentement est nécessaire si plusieurs traitements ont la même finalité

Comment prouver que vous avez demandé et recueilli un consentement valable?

Vous devez créer un document de preuve de votre façon de traiter les données personnelles que vous collectez.

  • Ce document, mis à jour régulièrement, sera précieux si votre PME, TPE, votre start-up ou votre activité d’indépendant fait l’objet d’une vérification de votre autorité de contrôle (la CNIL en France par exemple) après une plainte d’un de vos clients ou prospect par exemple.
  • Gardez la copie de votre demande de traitement de données
  • Gardez la copie de votre communication pour chaque finalité de traitement
  • Enregistrez précisément
    • la réponse
    • la date
    • par quel moyen la personne a donné sa réponse
    • la date d’un éventuel retrait du consentement

=> Cet enregistrement vous permettra de redemander une nouvelle autorisation si vous changez les modalités ou la finalité du traitement initial des données.

Il faut bien comprendre que le processus de récolte des données personnelles est évolutif, la personne ne dit pas oui à tout, à une seule date.

Autres conséquences du consentement sur les droits de la personne

Si vous basez le traitement des données personnelles sur le consentement des personnes

  • Elles ont le droit de retirer à tout moment leur consentement
  • Elles ont le droit de demander l’effacement des données personnelles (droit à l’oubli [18] ) quand elles retirent leur consentement. 
  • Elles ont le droit de demander de recevoir les données personnelles qu’elles vous ont fournies (droit à la portabilité des données) si le traitement des données est fondé sur le consentement [19]
Notes

[1] Art 8- 1 Charte des droits fondamentaux de l’Union européenne, 18 décembre 2000, http://www.europarl.europa.eu/charter/pdf/text_fr.pdf

[2] Art 6-1-a) , RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), 27 avril 2016, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[3] VOIR mon dossier « Cybersecurité, protection des données PME, TPE, Start-up, Indépendants « 

[4] Art 32-1, GDPR, supra note 2

[5] Art 6, ibid.

[6] Art 9-2, ibid.

[7]  » (…) amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevéétant retenu (…)  » Art 83-5, GDPR, supra note 2.

[8] Art 4-(11) et Récital 32, supra note 2.

[9] Art 7, ibid.

[10] Eurobarometer 443, e-privacy,

[11] Art 6-1 GDPR, supra note 2

[12] Récital 42 et  » (…) dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière.  » Récital 43, GDPR, ibid.

[13] Dans le cas de la relation employeur-employé, il serait préférable d’envisager une autre base légale de collecte et traitement des données personnelles :  » le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers  » Art 6-1-f), GDPR, ibid.

[14]  » (…) amendes administratives pouvant s’élever jusqu’à20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (…)  » Art 83-5, GDPR, supra note 2.

[15] Récital 32, GDPR, supra note2

[16] Exemple repris d’un modèle trouvé dans un document d’information, traduit de l’anglais,  » Consultation : GDPR consent guidance », Information Commissioner’s Office, ICO, UK, March 2, 2017.

[17]  » Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à l’utili­sation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant. » Récital 38 et Art 8, GDPR, supra note 2

[18] Art 17- b), supra, note 2

[19] Art 20-1-a), ibid.

[ninja_form id=2]
Articles connexes
error: Ce Contenu est protégé
Back To Top