Nous poursuivons nos présentations synthétiques des règles du RGPD. Abordons cette fois les questions de consentement.
Sous l'empire de la loi Informatique, fichiers et libertés, le principe du consentement des personnes concernées existait déjà dans tous les cas où la collecte des données personnelles n'était pas rendue obligatoire, notamment dans le cadre d'une mission publique (fiscalité, constatation d'infractions…) Mais il n'avait pas la force que lui donne aujourd'hui le RGPD.
Des obligations plus strictes concernant le consentement
La fin du consentement implicite
Jusqu'à présent, il était possible de déduire le consentement d'une personne à ce que les données qu'elle fournissait soient traitées, du seul fait qu'elles avaient été fournies par l'intéressé. C'est ainsi que par exemple, pour l'inscription à une activité ou à une lettre d'information, il semblait implicite que la personne avait donné son accord pour qu'on conserve ses coordonnées. Ne pas accepter revenait à ne pas s'abonner à la lettre d'information ou à ne pas être enregistré pour l'activité en question.
Le RGPD rend le consentement explicite obligatoire (article 7).
Garder trace du consentement
Plus encore, le Règlement exige du responsable du traitement qu'il conserve la preuve de ce consentement (article 7, 1). En d'autres termes, dans notre exemple de lettre d'information, il faudra conserver sous forme tangible la liste des abonnés avec la date et la trace de la manifestation claire de leur consentement.
Un consentement nécessairement isolé
Et par ailleurs, si le consentement est donné dans le cadre d'une opération ayant de multiples objectifs, le consentement devra se trouver isolé des autres opérations (article 7, 2). Ainsi lorsqu'un internaute passe commande d'un bien sur le net, il donne en général son adresse postale pour se faire livrer. Mais son accord pour que son adresse soit conservée devra être distincte de son acte d'achat avec fourniture — momentanée — de son adresse. À défaut, l'adresse et le nom du client devront être supprimées dès l'envoi et la bonne réception du bien commandé.
On retrouve ici, poussé à un degré supplémentaire, le principe dont on voit déjà la trace sur les sites de e-commerce qui respectent la loi actuelle, avec l'obligation pour le client de cocher les options pour recevoir des sollicitations commerciales : du commerçant lui-même ; des partenaires du commerçant. Maintenant il faudra demander le consentement de la personne pour simplement conserver ses coordonnées.
Comme on le voit, cette disposition va dans le sens d'un plus grand respect de la vie privée. Toute personne le souhaitant pourra ainsi exiger que même si elle a passé commande d'un bien, on ne se souvienne pas de son acte d'achat, ni d'elle-même et de ses coordonnées.
Le droit de retirer son consentement à tout moment
Une des nouveautés du RGPD est ce droit qu'a toute personne de retirer son consentement à tout moment (article 7, 3). Autrement dit, je peux contacter n'importe quel commerçant qui détient mes coordonnées et lui demander quand je le souhaite de supprimer celles-ci, parce que telle est ma volonté.
Cette disposition rejoint le droit d'opposition qui existait déjà dans la loi actuelle (article 38 de la loi) et dont nous verrons qu'il est renforcé par le RGPD.
Le consentement des mineurs dans le cadre des services de la société de l'information (Internet)
Assez logiquement, le RGPD légifère sur cette question avec un certain pragmatisme (article 8).
Lorsqu'une personne mineure donne un consentement sur internet, si elle est âgée de 16 ans au moins, son consentement personnel suffit. Mais si elle est âgée de moins de 16 ans, il faut l'accord de la personne exerçant l'autorité parentale (article 8, 1). Vu la difficulté de prouver que c'est bien l'autorité parentale qui a manifesté le consentement, le Règlement ajoute que le responsable du traitement "s'efforce raisonnablement de vérifier (…) que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale" (article 8,2).
Mise à jour pour la France (26 juin 2018)
Au regard de la loi Informatique, fichiers et libertés du 6 janvier 1978 dans sa révision du 20 juin 2018, le législateur français a considéré qu'un mineure pouvait donner seul son consentement sur internet dès ses 15 ans révolus (nouvel article 7-1 de la loi).
En savoir plus
Consulter le RGPD sur EUR-Lex :
http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA
Voir les articles sur le site de la Cnil sur le thème du RGPD (Règlement européen) :
https://www.cnil.fr/fr/tag/Règlement+européen
Notre première synthèse sur l'application du RGPD à tout type de traitement.
Toutes nos actualités sur le RGPD.