Le consentement de la personne concernée constitue une des bases juridiques ou « conditions de licéité » sur lesquelles peut se fonder un traitement de données à caractère personnel.
Conditions
Pour constituer une base de licéité valable, le consentement doit être libre, spécifique, éclairé et univoque. Cela implique dès lors que le consentement doit pouvoir être retiré, si la personne concernée change d’avis.
Consentement libre : La personne doit avoir une véritable liberté de choix et donc ne pas subir de préjudice d’un éventuel refus.
Consentement spécifique : Le consentement doit porter sur un traitement et des finalités identifiés.
Consentement éclairé : Avant de recueillir le consentement, le responsable du traitement doit informer la personne concernée des principales caractéristiques du traitement pour lequel le consentement est sollicité. Le consentement éclairé va de pair avec le consentement spécifique.
Consentement univoque : Le consentement résulte d’un acte positif clair (une déclaration ou un geste), il ne peut en aucun cas être tacite ou prérempli/pré-coché.
Le consentement ne sera pas toujours la condition de licéité appropriée
Compte tenu de ces conditions, le consentement ne sera pas toujours la condition de licéité appropriée, par exemple dans les situations suivantes :
- obtenir un consentement pour l’utilisation de données pour lesquelles il existe une obligation légale. Par exemple, une obligation découlant de la réglementation AML/KYC ou encore d’une réglementation relative à la protection sociale. Dans ce cas, la condition de licéité appropriée sera le respect d’une obligation légale à laquelle le responsable du traitement est soumis (article 6.1.c du RGPD).
- obtenir un consentement pour l’utilisation de données indispensables à l’exécution d’un contrat. Par exemple, obtenir une adresse pour effectuer une prestation de livraison ne relève pas du consentement, mais de l’exécution d’un contrat. Dans ce cas, la condition de licéité appropriée sera l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (article 6.1.b du RGPD).
- obtenir un consentement « global» pour l’utilisation d’un groupe de données au sein duquel un certain nombre uniquement relève du consentement et le reste relève d’une autre base de licéité. Dans ce scénario, le consentement, qui pourrait être une base de licéité valable pour une partie des données collectées, n’est pas recueilli valablement : il n’est ni libre, ni spécifique, ni éclairé. En effet, ce consentement serait « forcé » car masqué dans une liste de données qui elles ne peuvent être refusées, la base légale étant différente. Ce scénario interroge également sur le respect du principe de loyauté prévu par le RGPD.
Le cas spécifique du consentement des enfants
Si les données traitées sont liées à des enfants de moins de 16 ans, en particulier pour des données collectées via un site web commercial (p.ex. jeux en ligne, réseaux sociaux), il est nécessaire d’obtenir l’accord de leurs parents ou tuteurs légaux.
L’information à l’égard des enfants doit être facile à comprendre et formulée en des termes simples et clairs.