Le consentement

Le consentement doit être donné par un acte volontaire clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.

Pourquoi le consentement est important ?

Le consentement assure aux personnes un contrôle fort sur leurs données. Toujours associé à une obligation d’information, le consentement permet aux personnes de comprendre ce qui sera fait de leurs données, de choisir sans contrainte d’accepter ou non le traitement et de changer d’avis librement par la suite. Le consentement est recueilli en amont du traitement et peut être retiré à n’importe quel moment sans pour autant dégrader le service.

Le consentement est une des bases légales prévues par le RGPD pour autoriser un traitement de donnée. Il est donc un des moyens de rendre un traitement licite. Pour qu’il soit valablement recueilli, il doit respecter quatre critères cumulatifs : libre, spécifique, éclairé, univoque. Le respect de ces conditions doit donc faire l’objet d’une attention particulière.

Le consentement doit être donné librement

Le consentement ne doit pas être contraint ni influencé : la personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. La personne doit pouvoir refuser de consentir à un traitement de ses données qui n’est pas nécessaire au bon fonctionnement du service ou du produit qu’elle souhaite utiliser, cela sans que la qualité d’utilisation soit dégradée.

Exemple

Dans cet exemple, l’utilisateur vient de remplir un formulaire afin de souscrire à un service. La dernière étape concerne l’acceptation du contrat ainsi que l’utilisation de ses données personnelles à des fins de prospection commerciales.

Point d’attention (exemple animé)

Consentement Libre - Point d'attention
Dans cette proposition, le bouton « Continuer » reste grisé et n’est pas cliquable, tant que l’utilisateur ne coche pas toutes les cases. Il est obligé « d’accepter » toutes les utilisations de ses données personnelles à des fins de prospection commerciale alors que celles-ci ne sont pas nécessaires à la bonne exécution du service. Son consentement n’est donc pas libre.

Approche possible (exemple animé)

Consentement Libre - Approche possible
Dans cette proposition, dès que l’utilisateur coche la case correspondant à son contrat, le bouton « Continuer » s’active et devient cliquable. Il dispose du choix de ne pas consentir au traitement de ses données personnelles à des fins de prospection commerciale pour utiliser le service. Son consentement à l’utilisation de ses données à des fins de prospection commerciale n’est donc pas contraint.

Le consentement doit être donné de façon spécifique

Le consentement de la personne concernée doit être donné pour une finalité déterminée. Ainsi, si les données de la personne sont utilisées pour plusieurs usages, elle doit avoir la possibilité de donner ou non son consentement pour chacun d’entre eux.   

Exemple

Dans cet exemple, l’utilisateur entre des informations de contact et de paiement afin d’acheter des billets pour un concert. Avant de passer à l’acte d’achat en cliquant sur le bouton d’achat des billets, il est proposé à l’utilisateur de sauvegarder ses informations pour faciliter ses futurs achats.  

Point d’attention

Dans cette proposition, dès que l’utilisateur coche la case, il accepte la collecte de ses données pour deux finalités différentes : de la prospection commerciale pour l’adresse email et une facilitation des paiements futurs pour la carte bancaire. Une seule action de consentement permet ici l’acceptation de deux usages différents des données personnelles. Le consentement n’est donc pas spécifique car il englobe deux finalités différentes.

Approche possible (exemple animé)

Consentement Spécifique - Approche Possible
Dans cette proposition, l’utilisateur a le choix de cocher deux cases différentes, chacune d’entre elle correspondant à une finalité. Il peut ainsi accepter soit l’utilisation de son adresse email à des fins de prospection commerciale, soit la conservation de sa carte bancaire pour faciliter ses futurs paiements, soit les deux. Son consentement est spécifique pour chaque finalité.

Le consentement doit être univoque (non ambigu)

Le consentement nécessite une déclaration ou tout autre acte positif clair de la part de la personne concernée. Elle doit effectuer une action volontaire et active pour donner son consentement, qui démontre que la personne concernée a réellement consenti au traitement en question.

Le consentement n’est donc pas univoque en présence de cases pré-cochées ou pré-activées ou d’une inaction (par exemple l’absence de réponse à un courriel sollicitant le consentement). 

Exemple

Dans cet exemple, l’utilisatrice s’inscrit à un service d’assistant personnel au travers du chatbot associé. A la fin de l’inscription, le chatbot propose d’envoyer régulièrement des mails de prospection commerciale sur l’adresse email communiquée par l’utilisatrice.

Point d’attention

Consentement Univoque - Point Attention
Ici, l’utilisatrice ne répond pas à la demande du chatbot. Toutefois, le chatbot contacte de nouveau la personne et lui annonce qu’elle recevra des prospections commerciales sur sa boite mail. Son consentement n’est donc pas univoque car elle n’a réalisé aucune action pour accepter l’utilisation de son adresse email.

Approche possible (exemple animé)

Consentement Univoque - Approche Possible
L’utilisatrice accepte l’utilisation de son adresse email à des fins de prospection commerciale en cliquant sur le bouton de réponse « oui ». Le consentement est ici valablement recueilli car la personne a signifié clairement, en agissant dans l’interface, qu’elle souhaitait recevoir des mails à des fins de prospection commerciale.

Le consentement doit être éclairé

Fournir des informations aux personnes concernées avant d’obtenir leur consentement est indispensable afin de leur permettre de prendre des décisions en toute connaissance de cause, de comprendre ce à quoi ils consentent, et savoir comment retirer leur consentement. Si le responsable de traitement ne fournit pas d’information accessible, le contrôle de l’utilisateur peut être insuffisant. 

L’utilisateur doit notamment pouvoir savoir qui propose le service et va utiliser ses données (responsable de traitement), les finalités, les catégories de données collectées, le droit au retrait du consentement, etc. 

Pour en apprendre plus sur la façon de transmettre des informations à l’utilisateur, consulter la page sur l’information des personnes.

Aller plus loin 

Pour en savoir plus sur la notion de consentement et les règles applicables, vous pouvez consulter les liens ci-dessous :

L’article 6 du RGPD relatif à la « licéité du traitement » présente les six bases légales possibles sur lesquelles doit reposer un traitement de données pour être valide.

Comment recueillir le consentement des personnes cnil.fr

Une explication point par point de la signification de la notion de consentement et des éléments à prendre en compte pour s’assurer de sa validité.

La prospection commerciale par courrier électronique cnil.fr

Une explication des modalités et principes de mise en place du consentement dans le cadre de la prospection commerciale (BtoC et BtoB).

Lignes directrices sur le consentement pdf

Produit par l’EDPB, ce document complet explique la notion de consentement avec une série d’exemples.

Consentement explicite ico.org.uk

[consulté le 20 mai 2019] Une explication de la notion de consentement explicite faite par l’ICO et illustrée par un exemple. Cette caractéristique du consentement est demandée dans des cas particuliers, liés au type de données traitées ou au type de traitement mise en œuvre.

Données & Design par LINC