Quelques mois après l’application du Règlement Général sur la protection des données personnelles, la CNIL a souhaité refaire le point sur la manière de recueillir le consentement des personnes avant le traitement toutes données.
Le RGPD défini le consentement comme :
« TOUTE MANIFESTATION DE VOLONTÉ, LIBRE, SPÉCIFIQUE, ÉCLAIRÉE ET UNIVOQUE PAR LAQUELLE LA PERSONNE CONCERNÉE ACCEPTE, PAR UNE DÉCLARATION OU PAR UN ACTE POSITIF CLAIR, QUE DES DONNÉES À CARACTÈRE PERSONNEL LA CONCERNANT FASSENT L’OBJET D’UN TRAITEMENT »
Inscrit dans la loi Informatique et Libertés, le nouveau règlement Européen ne fait que compléter la définition du consentement. Et permet aux personnes concernées d’exercer un contrôle total sur le traitement de leurs données.
Formulaires, sondages, demandes d’information concernant l’utilisateur, le consentement est obligatoire et doit être conservé par le responsable du traitement des données.
En cas de litige ou de contestation, l’organisation se doit de prouver le consentement de la personne. Pour respecter cette obligation de consentement, chaque demande devra :
- Informer l’utilisateur sur la nature du traitement de ses données personnelles.
- Indiquer une date de durée de conservation des données. A la fin de cette date, l’organisme s’engage à détruire toutes informations collectées.
- Informer de manière explicite et claire l’utilisateur sur la finalité de ce traitement. (A qui ces données vont elles être transmises ? Que va t-elle faire de ces données ? Ou vont elles être stockées ?)
Pour plus de clarté, voici un exemple type de message qui devra être visible par tous les utilisateurs à chaque demande de données :
« Les informations recueillies sur ce formulaire seront enregistrées dans un fichier informatisé par [Nom de la société] pour vous transmettre des informations commerciale concernant [Indiquer l’objet, le sujet, la campagne]. Elles seront conservée pendant une durée de [Durée] et ne seront transmise à aucun tiers (Si différent, indiquer le nom des tiers). Conformément à la loi, vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en nous contactant à cette adresse mail : [Email de contact] »
Un consentement valide.
LIBRE : En aucun cas, le consentement doit être influencé ou contraint. Une personne peut avoir le choix sans subir de conséquences négatives sur un refus éventuel.
SPECIFIQUE : Un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
ECLAIRE : Afin de valider tout consentement, celui-ci doit être accompagné d’un certain nombre d’informations. Identité du responsable du traitement, finalités poursuivies, catégories de données collectées, existence d’un droit de retrait du consentement. Ces informations doivent être communiquées à la personne avant qu’elle ne donne son accord.
UNIVOQUE : Le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Qu’en est il des bases de données déjà existantes ?”
Une organisation propriétaire d’une base de données avant le 25 mai 2018, doit pouvoir prouver le consentement de chaque utilisateur avant cette date. Il faudra démontrer d’où proviennent les contacts, et pour quelle campagne email, par exemple, ils ont données leur accord.
Dans le cas contraire, l’organisation se doit de ré-obtenir le consentement de chacun. A défaut, il lui sera interdit d’utiliser cette base de données.