« La preuve du consentement doit être elle-même archivée »
Patrick Blum, DPO de l’ESSEC et vice-président de l’AFCDP, revient pour nous sur le consentement dans le RGPD, et notamment sur les apports des lignes directrices émises par le CEPD (Contrôleur européen de la protection des données).
Comment archiver les consentements ?
Le consentement est l’une des 6 bases légales qui permet de traiter les données. A noter que l’activité de traitement basée sur le consentement donne droit à la portabilité des données, c’est-à-dire que les personnes peuvent récupérer une partie de leurs données dans un format lisible et ouvert. Elles peuvent donc les transmettre facilement d’un système d’informations à un autre.
Par ailleurs, outre les données, la preuve du consentement doit elle-même être archivée. Il faut documenter le traitement en enregistrant les conditions dans lesquelles le consentement a été reçu. La particularité du consentement est qu’il doit pouvoir être supprimé. En effet, il doit être aussi simple pour la personne de donner que d’enlever son consentement. De plus, lorsque le consentement est recueilli, il l’est pour un usage précis mais aussi pour une durée précise. Cette durée n’est pas précisée dans le RGPD ni dans les lignes directrices rédigées par le CEPD car elle doit être adaptée en fonction de la nature des données, mais aussi de l’usage qui en est fait. Il revient donc au responsable de traitement de chaque organisme de définir cette durée, avec les conseils du DPO.
Qu’est-ce qui définit le consentement dans le RGPD ?
Pour être valide, le consentement doit répondre à plusieurs critères : il doit être libre, c’est-à-dire qu’il ne doit pas y avoir de déséquilibre entre la personne dont on recueille le consentement et le responsable de traitement, il doit être spécifique, c’est-à-dire donné dans un but spécifique, éclairé (la personne concernée doit être informée de la nature des données qui seront conservées) et univoque, c’est-à-dire qu’il ne doit y avoir aucune ambiguïté. Par exemple, un consentement préalablement coché qu’il faudrait décocher n’est pas valide ; de même, pour que le consentement soit éclairé, un certain nombre d’informations doivent être transmises. Celles-ci ont été définies dans les lignes directrices émises par le CEPD : l’identité du responsable de traitement, la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, les types de données collectées et utilisées, l’existence du droit de retirer son consentement. Le responsable doit également s’assurer d’employer systématiquement des termes clairs et simples.
Quelles preuves apporter à la CNIL en cas de contrôle ?
En cas de litige, ou lors d’un contrôle de la CNIL, il faut être en mesure de montrer la preuve du consentement, c’est-à-dire les données qui ont été enregistrées. Concernant la durée de conservation des consentements, le responsable de traitement, conseillé par son DPO, doit être en mesure d’exposer son raisonnement et ses critères de définition de la durée des traitements. Si le raisonnement est clair et logique, il n’y a pas de risque de sanction. En revanche, la CNIL peut parfois émettre des recommandations. Son objectif n’est pas de piéger les entreprises, mais de proposer de bonnes pratiques.
