Opt-in et opt-out les nouvelles règles de consentement à respecter!

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, la gestion du consentement des personnes au traitement de leurs données est devenue un enjeu majeur pour les entreprises. Fini l’opt-out trompeur, place à l’opt-in éclairé. Mais au-delà des définitions, quels sont les véritables impacts de ce changement de paradigme ? Quels risques en cas de non-conformité ? Et comment s’y préparer concrètement ? Cet article fait le point sur ces questions cruciales à l’heure où la donnée devient le carburant de l’économie numérique.

Opt-in vs opt-out

L’opt-in et l’opt-out sont deux mécanismes opposés de recueil du consentement des personnes au traitement de leurs données.

L’opt-in repose sur une démarche volontaire de la personne qui, par un acte positif et non équivoque (comme cocher une case vide), accepte expressément l’usage de ses données. C’est un consentement libre, spécifique et éclairé.

A l’inverse, l’opt-out suppose un consentement par défaut de la personne, qui doit faire une démarche spécifique (décocher une case) pour s’opposer au traitement. Cette pratique est trompeuse car le silence ou l’inaction sont assimilés à un accord, les cases sont souvent pré-cochées et les informations sur les finalités sont peu visibles ou ambiguës.

L’opt-in passage obligé du consentement

L’article 4(11) du RGPD définit le consentement comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.”

Le considérant 32 précise que le silence, les cases pré-cochées ou l’inactivité ne constituent pas un consentement valable. Seul l’opt-in respecte donc les critères du RGPD.

Le non-respect des règles de recueil du consentement expose les entreprises à des plaintes des personnes concernées auprès de la CNIL ou en justice, des sanctions administratives (mise en demeure, injonction de mise en conformité, limitation temporaire ou définitive du traitement, amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial), ainsi qu’un risque réputationnel et une perte de confiance des clients.

Quels consentements collecter ?

Tous les traitements ne requièrent pas forcément un consentement. L’article 6 du RGPD prévoit en effet 6 bases légales possibles, dont le consentement n’est que l’une d’elles. Les autres fondements légaux sont l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux de la personne, l’exécution d’une mission d’intérêt public et les intérêts légitimes du responsable de traitement (sous conditions).

Chaque entreprise doit donc au préalable cartographier l’ensemble de ses traitements de données pour déterminer leur base légale, les finalités précises, les données collectées, les durées de conservation et les mesures de sécurité et de confidentialité.

Cet état des lieux permettra d’identifier les traitements nécessitant un consentement, et donc la mise en place de mécanismes d’opt-in.

Mettre en place des mécanismes d’opt-in conformes

Pour chaque traitement basé sur le consentement, il conviendra de :

  • Rédiger des mentions d’information claires et complètes sur l’identité du responsable de traitement, les finalités détaillées, les destinataires des données, les durées de conservation, les droits des personnes et les modalités d’exercice de ces droits.
  • Prévoir des cases opt-in distinctes, non pré-cochées, pour chaque finalité (ex : prospection commerciale, profilage publicitaire, partage des données avec des partenaires…). Le CEPD recommande une granularité maximale des consentements.
  • Recueillir un acte positif clair (clic dans une case vide, bouton “j’accepte”, paramétrage des cookies…).
  • Permettre de retirer son consentement à tout moment, aussi facilement qu’il a été donné (ex : lien de désinscription dans chaque email).
  • Conserver une preuve des consentements collectés (horodatage, adresse IP, capture d’écran…).
  • Renouveler le consentement en cas d’évolution des finalités.
  • Auditer et mettre à jour régulièrement sa politique de gestion des consentements.

Conclusion

L’opt-in s’est imposé avec le RGPD comme le nouveau standard en matière de consentement. Au-delà d’une contrainte juridique, c’est un formidable levier de responsabilisation, tant pour les entreprises que pour les individus.

Bien compris et mis en oeuvre, l’opt-in pose les jalons d’une économie numérique plus éthique et vertueuse, où la donnée devient un actif partagé au service de la création de valeur pour tous. A l’inverse, les entreprises qui manqueraient ce virage s’exposeraient à des risques juridiques et réputationnels majeurs. L’heure n’est donc plus à l’opt-out, mais à l’opt-in !

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)