Le point sur une notion clé : le consentement
Mieux l’appréhender pour mieux connaître vos droits et possibilités
Parmi le lot de changements introduits par le RGPD, plusieurs concernent la notion de consentement. Afin de s’y conformer, les organisations doivent modifier certaines de leurs pratiques et formuler leurs demandes selon des règles bien précises. Nous vous proposons de tout savoir à ce sujet.
Le consentement est l’un des six fondements juridiques sur lesquelles une organisation peut s’appuyer pour traiter vos données personnelles. Les 5 autres sont : l’existence d’un contrat, le respect d’une obligation légale, la sauvegarde de vos intérêts vitaux, l’exercice de l’autorité publique, l’intérêt légitime de cette organisation.
Le consentement se définit comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
Le RGPD insuffle un aspect moral à la définition juridique classique du consentement qui implique seulement votre approbation : il ajoute les principes de choix (le fait que vous exerciez votre jugement avec soin) et de liberté, qui deviennent ses principaux paramètres de validité. Point important : c’est à l’entreprise d’être en mesure de démontrer qu’elle a bien recueilli un consentement valide de votre part. En cas de litige, ce n’est pas à vous d’en prouver l’absence.
Libre de choisir et de changer d’avis
Votre liberté se caractérise notamment par votre capacité à agir selon votre propre volonté, à réaliser vos propres choix, sans contrainte extérieure. Cela signifie d’une part que vous devez être autonome et majeur pour donner un consentement valide. En France, la majorité numérique a été fixée à 15 ans. Pour les mineurs de moins de 15 ans, c’est donc aux représentants légaux de décider.
Cela signifie aussi que pour être libre, et ainsi valable, votre consentement doit être obtenu sans que vous n’ayez subi ni influence, ni pression. Une organisation ne peut donc pas : choisir d’effectuer des traitements sur la base du consentement s’il y a un déséquilibre manifeste entre elle et vous, typiquement lorsqu’elle est une autorité publique, ou lorsqu’il existe un lien de subordination comme c’est le cas avec votre employeur ; intégrer une demande de consentement dans un contrat ou dans des conditions générales quand ce n’est pas nécessaire ; ou bien encore vous pénaliser en cas de refus ou de retrait d’un consentement, par exemple en offrant un service gratuit si vous consentez à une exploitation commerciale de vos données mais payant si vous refusez.
Au moment de recueillir votre consentement, l’organisation doit aussi vous informer de votre totale liberté de choix. Et votre choix peut être révisé à tout moment. Vous pouvez changer d’avis quand vous voulez, sans vous justifier. Ainsi, chaque fois que vous avez donné votre consentement pour un traitement utilisant vos données personnelles, il doit vous être mis à disposition les moyens de le retirer aussi simplement que vous l’avez donné.
Être correctement informé pour bien décider
Votre consentement n’est valable que si vous le donnez en toute connaissance de cause, pour évaluer justement ses conséquences et prendre la bonne décision. Un manque d’informations ou des formulations ambiguës de la part des organismes recueillant votre consentement peuvent le rendre non valide. Ce n’est que grâce à une information claire, sincère et détaillée que vous pouvez choisir ce qui vous convient réellement. Votre consentement ne concerne pas que la nature des données personnelles que vous autorisez une organisation à utiliser mais aussi la finalité des traitements qu’elle entend effectuer. Par exemple, vous pouvez tout à fait autoriser une entreprise à utiliser votre adresse email pour vous adresser des offres commerciales en direct, mais refuser qu’elle communique cette même adresse à d’autres partenaires pour d’autres offres.
Un acte clair et non ambigu
Pour que votre consentement soit valide, il doit être recueilli par le biais d’un acte clair. Autrement dit une entreprise ne peut plus l’obtenir en utilisant une case pré-cochée, ou le déduire de votre inaction.
Dans certains cas, ce processus est même renforcé par la nécessité d’un consentement explicite, c’est-à-dire qu’il faut que vous le formuliez clairement. C’est par exemple le cas : en cas de traitement de données “sensibles”, comme vos opinions ou croyances, vos données de santé ou votre orientation sexuelle ; lors d’un transfert de données à un tiers (sauf lorsqu’il s’agit d’une obligation légale, ou si ce tiers est sous-traitant de l’entreprise initiale, auquel cas vous bénéficiez d’autres protections) ; pour du profilage, c’est-à-dire lorsque vos données sont analysées pour prédire votre comportement, analyser vos habitudes et anticiper vos prochaines actions. Ces traitements s’appuient sur l’utilisation d’algorithmes automatisés.
Le consentement suppose donc une totale liberté : un choix libre, effectué par une personne autonome et informée de façon transparente et honnête. Il ne saurait être valable s’il est recueilli sous la contrainte, suite à des informations occultées ou mensongères, ou auprès d’un individu non autonome en termes de prise de décision.
Pour savoir quelles sociétés traitent vos données personnelles sur la base du consentement, vous pouvez exercer facilement votre droit d’accès à vos données grâce à l’application gratuite Myfairdata.
Vous souhaitez en savoir plus sur Fair&Smart et nos solutions de gestion de données personnelles, cliquez sur le bouton ci-dessous :
Rejoignez-vous sur les réseaux sociaux :