Il est important de s’assurer que ce processus soit bien respecté, car en cas de défaut, la CNIL peut demander l’effacement de toutes les données qui n’auront pas été recueillies valablement. Elle l’a déjà fait dans deux affaires importantes dans lesquelles elle a ordonné l’effacement de 14 millions, puis de 60 millions de fiches prospects !
Vu les dommages que cela peut causer à une entreprise, s’assurer de la validité de ce processus est un point de passage obligé en termes de conformité RGPD.
A noter que depuis 2024, vous pouvez utiliser un logiciel de gestion de la conformité RGPD et du registre pour réaliser un audit automatisé de vos formulaires web, ce qui vous permet de savoir si vous êtes conforme ou non en quelques clics, et cela grâce à l’intelligence artificielle.
I - Ne demandez le consentement que dans certains cas !
La première erreur à éviter, et le premier élément à comprendre est que le consentement ne doit être demandé que dans certains cas. On verra quelques exemples avant de voir le texte de loi.
A - Exemples dans lesquels le consentement doit être demandé (ou pas)
Traditionnellement on demande le consentement pour des process marketing tels que :
- une inscription à une newsletter
- télécharger et recevoir un guide (ex : whitepaper…)
Toutefois, le consentement ne doit jamais être demandé dans les cas suivants :
- pour l’embauche
- lorsque la loi impose de recueillir et traiter des données personnelles (ex : pour la facturation - il s’agit d’une obligation légale).
J’a! déjà rappelé la nécessité d’arrêter de demander le consentement à de nombreuses reprises, c’est une des erreurs à ne pas faire :
B - Ce que dit la loi précisément
En fait, d’un point de vue juridique, le consentement est une obligation qui découle de l’article 6 du RGPD - et qui impose au responsable de traitement (en général, la personne qui collecte les données) - de disposer d’une base légale.
1. Il faut une “base légale”
En résumé pour pouvoir légalement collecter des données relatives aux personnes (email, nom, prénom), on doit s’assurer d’être dans l’un des 6 cas suivants au moins :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
2. Comment déterminer si la base légale est vraiment le consentement ?
En pratique, on peut déterminer la nécessité de demander le consentement par élimination des autres bases légales, de la manière suivante :
- est-ce que la loi nous impose de collecter des données personnelles (ex: en matière RH, les obligations en matière de retraite, en matière commerciale, la facturation) ? Si oui, la base légale est alors l’obligation légale, et il n’y a pas lieu de demander le consentement.
- est-ce que les données de la personne concernée sont traitées dans le cadre d’une relation contractuelle - par exemple, un site e-commerce ? Dans ce cas, la base légale est l’exécution de mesures précontractuelles ou l’exécution d’un contrat. Attention toutefois, car seules les données nécessaires à ce contrat peuvent être collectées valablement ! Par exemple, l’inscription d’une personne à une newsletter suite à un achat ne relèvera pas du contrat, mais du consentement.
- est-ce que nous sommes dans un autre cas (exemple : une personne arrive à un hôpital dans le coma et la personne nécessite une greffe, la base légale sera alors la sauvegarde de ses intérêts vitaux).
- à défaut on peut reposer sur le consentement
3. Attention à ne pas tout mettre dans une seule base légale
Attention toutefois à s’assurer que les données personnelles sont bien nécessaires à cette base légale. Le cas du site e-commerce est très parlant pour cela : si le responsable du traitement a besoin de collecter des données pour la facturation (la base légale est alors l’obligation légale), et pour la gestion du paiement (la base légale est alors contrat), ainsi que pour la commande et son expédition, comme l’adresse de la personne et son email (base légale : contrat), il ne sera pas possible d’inclure l’email de la personne pour lui faire parvenir de nouvelles offres commerciales en même temps. Pour ce faire, il faudra demander le consentement de la personne au traitement de ces données pour cette finalité.
À supposer qu’on soit dans une situation dans laquelle il faut recueillir le consentement de la personne, il y a alors deux conditions essentielles à respecter.
II - Les deux conditions essentielles à respecter pour obtenir un consentement RGPD valable
La définition légale du consentement nous est donnée par l’article 4 du RGPD :
«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
En fait, derrière cette définition, il y a deux conditions essentielles qui sont imposées par le RGPD : il faut que un acte positif de la personne (A), et il faut que la personne soit informée clairement de ce qui sera fait de ses données (B).
A - Il faut un acte positif de la personne concernée.
Pour que le consentement soit recueilli valablement il faut d’abord un acte positif de la personne. En fait, il s’agit là d’un vieux problème de droit qui est est-ce que le silence vaut acceptation ?
La réponse du RGPD est - fort heureusement non ! Sans cela en effet, le RGPD autoriserait de très importantes dérives. Pour que le consentement soit recueilli valablement, il faut donc que la personne fasse elle-même un acte positif - comme par exemple entrer elle-même ses données personnelles dans un formulaire de collecte.
Toutefois, le RGPD n’impose pas forcément une case à cocher ! Une case à cocher peut être la manifestation d’un acte positif, mais elle ne l’est pas obligatoirement. En fait, une personne qui ajoute son adresse email elle-même dans un formulaire réalise un acte positif qui est suffisant pour valider cette condition imposée par le RGPD.
Ce qui est important est que l’action vienne de la personne elle-même. Par exemple :
- serait illicite le fait de collecter des emails sur des forums et envoyer aux personnes des publicités commerciales
- est illicite le fait d’ajouter ses contacts dans une newsletter commerciale sans avoir demandé aux personnes leur consentement avant.
B - La personne doit être informée de ce qui sera fait de ses données.
Le RGPD a ajouté plus de conditions juridiques, mais nous pouvons résumer les choses de la manière suivante : la personne dont les données sont traitées doit être clairement informée de ce qui sera fait de ses données.
Et c’est essentiel, sans quoi comment pourrait-elle consentir à quoi que ce soit ? Comment consentir à ce que des données soit traitées par exemple pour une newsletter si la personne n’en est pas clairement informée ?
D’un point de vue juridique le RGPD impose plusieurs conditions additionnelles, afin de s’assurer que le consentement donné soit bien éclairé :
- il faut une manifestation de volonté libre qui ne doit pas être contraint ni influencé (ex : une personne qui est contrainte à donner son consentement ne consent pas valablement ; on trouve typiquement ce type de situation en matière de droit du travail dans lesquelles l’employeur peut imposer un traitement de données personnelles - dans de tels cas, le consentement ne pourra pas être utilisé comme base légale. Il est toutefois possible de demander le consentement en matière de droit du travail, mais il faut s’assurer que le choix de la personne soit vraiment libre). Attention donc aux rapports de force qui peuvent bloquer l’acquisition du consentement
- le consentement doit être spécifique : il faut que la personne concernée consente à quelque chose de spécifique, comme recevoir une newsletter. Mais il n’est pas possible de lui demander de consentir à “tout traitement de données personnelles” par exemple.
- le consentement doit être éclairé : en général il suffit pour cela de détailler clairement sur le formulaire de collecte ce qui sera fait des données personnelles
- et il doit être univoque (cf. non-équivoque), on ne doit pas chercher à tromper la personne par exemple quant à la réalité des traitements effectués de ces données, et l’informer clairement de ce qui est fait de ses données
Le G29 à écrit des lignes directrices très détaillées sur le consentement qui peuvent être consultées.
Conclusion : les process à mettre en oeuvre
Le risque principal pour les organisations qui collectent des données personnelles est de ne pas recueillir valablement ces données - et devoir ensuite se retrouver dans une situation ou la CNIL demanderait l’effacement de l’intégralité des données par exemple.
Éviter ce scénario catastrophe est pourtant relativement simple à condition de mettre en place de process précis d’acquisition du consentement. Le RGPD impose de mettre en oeuvre une diversité de process et il est conseillé de recourir à un logiciel pour les gérer :
Que ce soit pour l’acquisition du consentement, ou pour la gestion du registre, des outils permettant d’automatiser ces processus sont essentiels pour faire gagner du temps aux organisations.