Le consentement des personnes concernées par la collecte de leurs données

Fiche pratique
INFOREG

Afin de répondre à son obligation de transparence imposée par le règlement général sur la protection des données (RPGD), le responsable de traitement (RT) doit garantir le recueil du consentement des personnes concernées par la collecte de leurs données personnelles, lorsque celui-ci est exigé.

Pour certains traitements de données personnelles, la collecte du consentement par le RT des personnes concernées est indispensable voire une obligation légale.

Quelles sont les conditions de validité du consentement ?

Pour être valable, le consentement doit être : 

  • libre : le consentement est non contraint ou influencé et le refus de consentir de l’utilisateur doit être  sans conséquence sur l’exécution du contrat.
  • spécifique : le consentement correspond à un traitement pour une finalité déterminée
  • éclairé : le consentement est accompagné d’une information complète et transparente concernant le traitement des données personnelles 
  • univoque : l’expression de consentement est donné sans aucune ambiguïté grâce à des modalités de recueil du consentement simple d’usage. 

Pourquoi recueillir le consentement ?

Le recueil du consentement permet au RT de justifier la mise en œuvre du traitement de données personnelles.

Le RT peut se fonder sur une autre base légale que le consentement pour justifier le traitement des données personnelles, à savoir :

  • le contrat 
  • l’obligation légale 
  • la mission d’intérêt public 
  • l’intérêt légitime 
  • la sauvegarde des intérêts vitaux.

Plus d’informations avec la fiche : Établir un registre des activités de traitement

Le RT doit être vigilant et vérifier que le consentement n’est pas obligatoire pour justifier le traitement envisagé.

Pour l’utilisateur, donner son consentement l’incite et lui permet de comprendre le traitement qui sera fait de ses données. En fonction de l’information fournie relative au traitement, l’utilisateur est libre d’accepter ou non ce traitement, ou de changer d’avis ultérieurement.

Qui doit recueillir le consentement des utilisateurs pour le dépôt et la lecture des cookies dans le terminal de l’utilisateur ?

L'obligation de recueil du consentement s’impose aux RT qui déposent des cookies  soumis au consentement  afin de suivre l’activité des utilisateurs, ce qui concerne notamment : 

  • les éditeurs de sites web et d'applications mobiles ;
  • les régies publicitaires ;
  • les réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

Le recueil du consentement n’est pas nécessaire pour les cookies strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique, c’est-à-dire notamment :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
  • les traceurs de personnalisation de l'interface utilisateur, lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

Plus d’informations avec la fiche : Établir un registre des activités de traitement

Quelles obligations s’imposent au RT concernant le recueil du consentement pour le dépôt et la lecture des cookies dans le terminal de l’utilisateur ?

Le RT qui dépose des cookies soumis au consentement, doit permettre à l’utilisateur : 

  • de consentir préalablement au dépôt et/ou à la lecture des cookies ;
  • de consentir par un acte positif clair : l’utilisateur doit disposer des moyens simples d’accepter, de refuser et de retirer son consentement : Le silence des personnes doit s’interpréter comme un refus de consentement ;
  • de consentir de façon indépendante et spécifique pour chaque finalité.
  • Le RT peut par exemple proposer des cases à cocher pour chaque finalité ou bien intégrer des boutons "tout accepter" ou "tout refuser" si l’ensemble des finalités est présenté préalablement ;
  • de consentir façon univoque et éclairée : l’information relative au traitement des données personnelles doit donc être visible, complète et rédiger en termes compréhensible par tout utilisateur ;
  • de refuser le dépôt /ou la lecture des cookies avec le même degré de simplicité que pour leur acceptation ;
  • de retirer son consentement à tout moment.

Dans une décision du 28 janvier 2022, le Conseil d’Etat valide les amendes infligées par la CNIL à Google à hauteur de 100 millions d’euros pour absence d'information claire et complète des utilisateurs, défaut de recueil préalable de leur consentement et défaillance du mécanisme d'opposition aux cookies.

Pour aller plus loin

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Ce document a été rédigé par les juristes du réseau EEN pour apporter un soutien expert aux entreprises pour faire face à l'impact de la crise sanitaire liée au coronavirus.
 

Mis à jour le 21/04/2022
Enterprise Europe Network

Depuis plus de 10 ans, le réseau Enterprise Europe Network (EEN) aide les petites entreprises à tirer le meilleur parti du marché européen. Le réseau EEN, vous accompagne gratuitement dans vos démarches de développement de votre activité