Le consentement est l’un des six fondements possibles prévus dans le RGPD sur base desquels des données à caractère personnel peuvent être traitées. Le RGPD définit les conditions dans lesquelles le consentement doit être recueilli. Quelles sont-elles ? Un consentement valable est actif, spécifique, libre, univoque et informé. On vous en parle dans le détail dans cet article de blog.
Qu’est-ce que le RGPD ?
Le RGPD est le Règlement Général sur la protection des données. La référence en Europe pour connaître les règles à respecter en matière de protection des données personnelles.
Il est essentiel de connaître les grands principes du RGPD prévus par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.
Parmi ces principes, le RGPD impose à toute entité de ne traiter des données personnelles que selon une base légale :
- l’intérêt légitime de l’entreprise, ou d’un tiers ;
- une obligation légale ;
- l’exécution d’une mesure contractuelle ou pré-contractuelle ;
- le consentement des personnes dont l’on traite les données ;
- la sauvegarde des intérêts vitaux ;
- la mission d’intérêt public.
Le consentement permet aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données personnelles.
La notion de consentement s’applique par exemple :
- à l’inscription à une base de newsletter commerciale, par e-mail ou SMS ;
- au dépôt de certains cookies non nécessaires au fonctionnement d’un site web (publicitaires par exemple) ;
- etc.
Le RGPD donne une définition unitaire des critères pour un consentement valide qui devront être respectés.
Recueil du consentement, quelles sont les règles ?
Le consentement, une manifestation de volonté univoque
Dans les cas où le consentement est requis, pour être conforme au RGPD, il doit procéder d’un acte clair ou une déclaration positive de la part de la personne dont on va traiter des données personnelles.
Cet acte peut prendre de nombreuses formes :
- signature d’un formulaire ;
- clic sur un écran avec une case à cocher ;
- accord oral ;
- etc.
En pratique, de nombreux sites web se sont dotés d’une solution de gestion de cookies. Grâce à la bannière de consentement de cookies, un utilisateur final peut cliquer sur un bouton « accepter » ou cocher une case pour accepter le dépôt de certains types de cookies sur son dispositif, par exemple.
Le silence ou l’inaction ne seront pas considérés comme un consentement valide.
Lorsque vous lancez un site web, naviguer de page en page ou scroller le long d’un écran ne signifient pas que vous acceptez le dépôt des cookies.
Libre – quand le consentement se donne sans contrainte
Le consentement doit être donné librement. En d’autres termes, lorsque vous sollicitez l’autorisation de votre utilisateur final, il doit avoir un réel choix et pouvoir répondre par oui comme par non.
Dans le cas des cookies non essentiels, l’autorisation porte sur une technologie de collecte de données et de traçage qui n’est pas indispensable au fonctionnement du site.
La liberté repose donc sur le droit de refuser les cookies sans que cela n’ait aucune conséquence fâcheuse telle que :
- l’impossibilité d’accéder au contenu du site. Tel serait le cas d’un « cookie wall » qui vous obligerait à accepter les cookies pour pouvoir lire un article ou accéder au site ;
- la perturbation de votre expérience utilisateur. Tel serait le cas si après avoir refusé les cookies, un nouveau bandeau très visible et gênant vous culpabilise pour vous convaincre d’accepter malgré tout.
Le format du cookie wall qui masque toute la page web lors de son chargement n’est donc pas une solution convenable. Ce format reste pourtant légal dans certains cas. Il a l’avantage de pousser l’utilisateur à formuler un choix concernant les cookies. A condition que le bandeau soit conforme et qu’il comporte un bouton pour accepter et un pour refuser.
Sachez que votre utilisateur devra aussi pouvoir revenir à tout moment sur les consentements qu’il vous aura donné. Puisque le consentement est libre, il doit pouvoir être retiré aussi facilement qu’il a été donné. C’est une condition fondamentale qui fait partie des droits RGPD de vos utilisateurs.
Spécifique, un consentement donné pour une finalité déterminée
Le consentement doit correspondre à un seul traitement, pour une finalité déterminée.
Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
Un éditeur de site ne peut pas demander, en une seule fois :
- d’accepter la politique de confidentialité du site et le recours à des cookies ;
- de vous déclarer majeur et d’accepter les cookies ;
- etc.
Pour que le consentement soit valide, les utilisateurs doivent pouvoir consentir librement et séparément pour chaque traitement.
Eclairé, quand consentir veut dire être informé
Un consentement se donne en connaissance de cause. Le consentement est éclairé que si les informations suivantes ont, au minimum, été fournies à la personne concernée :
- l’identité du responsable du traitement ;
- le but de chaque traitement de données pour lequel le consentement est demandé ;
- le type de données qui sera collecté et utilisé ;
- le droit de retirer le consentement ;
- les informations sur l’utilisation des données dans le cadre d’une prise de décision automatisée ;
- les risques potentiels d’un transfert de données à caractère personnel vers des pays tiers en dehors de l’EEE.
S’agissant des cookies, cette information est souvent donnée en plusieurs fois.
La bannière de consentement aux cookies fournit trois premiers niveaux d’information, dans un format facile à lire et à comprendre.
- Le texte d’introduction ;
- Le lien pour voir plus : pour avoir une vue détaillée de la liste des cookies et des technologies de suivi organisée par catégorie de cookies, ainsi que le propriétaire du cookie, son nom et sa finalité. L’utilisateur pourra consentir à des catégories individuelles de cookies ;
- Le lien vers la politique de cookies, avec toutes les informations relatives aux cookies utilisés sur votre site web.
Sans cette information, le consentement donné ne sera pas considéré comme valable.
La preuve du consentement, une obligation du Règlement RGPD
La loi européenne sur la protection des données impose de pouvoir prouver le consentement.
Cela signifie que le responsable de traitement doit conserver une preuve de ce consentement. Par exemple, la CNIL préconise que le responsable de traitement tienne un registre des consentements pour un temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement.
De plus, toujours selon la Cnil, la preuve du consentement doit contenir trois éléments :
- Qui a consenti ;
- Ce à quoi la personne a consenti ;
- Le moment où elle a donné son consentement.
Cette preuve est indispensable pour prouver la conformité RGPD de vos traitements de données personnelles et devra être mise à disposition des autorités de régulation en cas de contrôle.
Conclusion : Prêts à collecter un consentement valide de vos utilisateurs ?
Veillez donc à agir de manière transparente et à faire en sorte de fournir à vos utilisateurs tout ce qui leur permet de consentir vraiment, à commencer par une information complète sur ce à quoi ils consentent.
En pratique, vous installerez sur votre site une solution de gestion des consentements qui prendra en charge :
- l’affichage sur votre site d’une bannière de cookies et d’une interface de gestion des consentements ;
- la collecte et le stockage de chaque consentement donné.
Cela vous mettra en mesure de respecter les diverses exigences légales liées à la notion de consentement.
Mais il s’agit avant tout d’une vraie opportunité pour créer de la confiance avec vos audiences, ainsi qu’un plus haut niveau d’engagement.
Heureusement, vous pourrez vous appuyer sur des solutions telles que celles d’Admeet pour gérer vos cookies en toute conformité.