Cette législation historique a changé la façon dont les organisations abordent la question de la confidentialité des données et a redonné aux consommateurs le contrôle de la façon dont leurs données sont stockées et traitées.

Lorsque le GDPR est entré en vigueur le 25 mai 2018, il a marqué le plus grand bouleversement des lois sur la confidentialité des données depuis 20 ans.

La législation a été introduite pour refléter notre monde de plus en plus numérisé et reconnaître les droits des individus en ce qui concerne l’utilisation de leurs données personnelles.

Pratiquement tous les services que nous utilisons, qu’il s’agisse d’une plateforme de médias sociaux, d’un détaillant ou d’une banque, collectent, analysent et stockent nos données personnelles. En vertu du GDPR, les organisations sont désormais tenues de démontrer qu’elles traitent ces données de manière légale, équitable et transparente.

L’UE définit les « données à caractère personnel » comme toute information pouvant être utilisée pour identifier directement ou indirectement une personne (personne concernée). Il peut s’agir d’un nom, d’une adresse électronique, d’une adresse IP ou d’une image. Cela inclut également les données personnelles sensibles telles que les données biométriques ou génétiques qui pourraient être traitées pour identifier une personne.

Le traitement des données à caractère personnel est généralement interdit, sauf s’il est autorisé par la législation applicable ou si la personne concernée a consenti au traitement. Toutefois, le consentement n’est qu’un des six objectifs légitimes requis pour tout traitement de données à caractère personnel.

Consentement GDPR valide

En vertu du GDPR, le « traitement licite » n’est possible que lorsque :

  • La personne concernée a donné son consentement
  • Le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée
  • Le traitement est nécessaire pour respecter une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne concernée ou d’une autre personne
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque les intérêts, les droits ou les libertés de la personne concernée l’emportent sur ces intérêts.

Qu’est-ce que le consentement ?

Qu'est-ce que le consentement au sens du GDPR ?

Le consentement est un moyen d’instaurer la confiance entre un utilisateur et une organisation. Selon la définition du GDPR : « Le consentement est une manifestation de volonté librement consentie, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données la concernant fassent l’objet d’un traitement. »

Le consentement est défini comme étant assez étroit du point de vue du GDPR. Par exemple, si un utilisateur donne son accord pour que ses données soient utilisées à des fins de détection de la cyberfraude et que ses données sont ensuite utilisées à des fins de marketing sans qu’il le sache ou le choisisse, il s’agit d’une violation de la vie privée de la personne concernée.

De même, les formulaires de consentement ne peuvent pas être intégrés dans des accords de longue durée sur les conditions de service. Pour garantir la transparence, les formulaires de consentement doivent être distincts, spécifiques et explicites.      

Qu’est-ce qui rend le consentement valable ?

Consentement valide selon le GDPR

Lorsque le consentement est requis pour traiter des données à caractère personnel, les conditions suivantes doivent être remplies pour que ce consentement soit valable :

1. Le consentement doit être donné librement

Pour que le consentement soit donné librement, la personne doit être en mesure de choisir si elle souhaite ou non que ses données soient traitées. Si la personne n’a pas le choix dans le traitement de ces données, le consentement n’est pas donné librement et sera considéré comme invalide. La personne doit également pouvoir refuser son consentement sans répercussions négatives et avoir la possibilité de le retirer à tout moment. Dans la mesure du possible, le consentement doit être dissocié des autres conditions générales.

2. Le consentement doit être spécifique

Le consentement doit être spécifique aux finalités réelles pour lesquelles les données seront utilisées. Comme le précise le GDPR : « l’obtention d’un consentement valable ne peut se faire qu’après que le responsable du traitement des données a déterminé une finalité spécifique, explicite et légitime pour l’activité de traitement envisagée ». Lorsque le traitement a plusieurs finalités, le consentement ne doit être donné que pour les finalités fondées sur le consentement.

3. Le consentement doit être éclairé

Pour que le consentement soit considéré comme valable, l’individu doit savoir :

  • L’identité de l’organisation qui traite les données
  • Les finalités du traitement des données
  • Le type de données qui seront traitées
  • La possibilité de retirer son consentement

4. Le consentement doit être sans ambiguïté

Le consentement doit être donné par un acte affirmatif clair afin que les souhaits de la personne soient clairs. La demande de consentement doit être formulée dans un langage clair et simple, intelligible et facilement accessible. Il peut s’agir d’une déclaration écrite ou orale. Le silence, les cases pré-cochées ou l’inactivité ne constituent pas un consentement valable.

Quelles sont les règles relatives au consentement des enfants ?

Le consentement parental est généralement requis pour les enfants de moins de 16 ans, bien que l’âge requis pour le consentement varie selon les pays participants de l’UE. En outre, des efforts raisonnables doivent être faits pour vérifier l’identité de la personne qui donne son consentement au nom de l’enfant.

Le processus de consentement peut être plus strict dans le cadre du GDPR, mais il offre aux organisations la possibilité de développer des niveaux plus élevés de confiance et de transparence avec leurs clients.

MetaPrivacy a été conçu pour fournir une approche des meilleures pratiques en matière de respect de la confidentialité des données. Contactez-nous pour plus d’informations sur la manière dont nous pouvons aider votre organisation à améliorer sa structure de conformité.

Pour en savoir plus :

Comment le GDPR affectera le droit à l’oubli

Les 5 principaux mythes sur le GDPR

Cinq façons pour votre entreprise de tirer profit du GDPR

CLAUSE DE NON-RESPONSABILITÉ : Le contenu et les opinions de ce blog sont donnés à titre d’information uniquement. Ils n’ont pas vocation à constituer un avis juridique ou professionnel et ne doivent pas être considérés comme un substitut à un avis spécifique relatif à des circonstances particulières, à la loi sur la protection des données ou à toute autre législation actuelle ou future. MetaCompliance décline toute responsabilité en cas d’erreurs, d’omissions ou de déclarations trompeuses, ainsi que pour toute perte pouvant résulter de la confiance accordée aux informations contenues dans ce blog.