GDPR : comment obtenir un consentement valable ?

par | Avr 9, 2018 | Expérience | 0 commentaires

En matière de marketing, le GDPR renforce sensiblement le principe de consentement tout en restant dans la lignée de la directive européenne de 1995. Les conseils d’ACTITO pour y voir plus clair.

Quid du consentement ? Sans modifier les modalités déjà existantes au travers de la directive européenne de 1995, le GDPR en élargit le champ d’application. «Ainsi, les opt-in collectés jusqu’ici restent valables et la prospection commerciale par e-mail ou SMS reste possible dans les mêmes conditions, résume Benoit De Nayer, co-CEO, ACTITO. Cependant, il conviendra d’être plus strict sur des dimensions existantes mais quelque peu négligées jusqu’ici : l’apport de la preuve de ce recueil, la spécificité des finalités, les catégories de prestataires à qui les données sont transférées ou les pays tiers vers qui les données sont transférées.»

Pour aider les entreprises à se mettre en conformité avec le GDPR, ACTITO, spécialiste européen du marketing automation, propose un module «Formulaires et Pages» qui embarque en standard l’historisation du contexte et des mentions légales au moment de la collecte. Le template Preference Center est «prêt à l’emploi» et comporte tous les principes d’information et de granularité du recueil de consentement requis par le GDPR. Ces modules seront très utiles s’il s’agit de démontrer sa bonne foi dans la mise en œuvre des principes du GDPR, ce que toute entreprise pourrait être amenée à devoir prouver…

Les règles du consentement

Le GDPR définit le consentement comme étant : «toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.»

«Le GDPR est explicite sur l’autorisation de poursuite des activités de traitement de données sur la base des consentements obtenus précédemment. Point important, complète Benoit De Nayer, il n’est nul besoin de considérer que tout le processus de recueil de consentement doit être intégralement renouvelé pour le 25 mai 2018.»

Comme c’était déjà le cas, le consentement suppose donc une démarche active de la personne concernée. Cette action peut être une signature écrite, une manifestation orale ou un comportement dont on peut incontestablement conclure la volonté de voir ses données personnelles traitées.

Le consentement doit être libre. C’est à dire qu’il doit par exemple pouvoir être retiré à tout moment. Par ailleurs, il faut vérifier, si il n’y a pas eu de contrainte. Par exemple, si la conclusion de contrat est subordonnée à l’acceptation de l’utilisation des données à des fins de marketing, le consentement n’est pas libre. C’est également ce qui s’oppose à l’utilisation de cases pré-cochées.

Le consentement doit être éclairé, c’est à dire que la personne concernée doit effectivement comprendre ce qu’il advient de cette donnée. Pour cela, la demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Il faudra s’adapter concrètement au public visé par la demande de consentement en évitant le jargon, les formulations complexes…

Enfin, le consentement doit être spécifique. La demande de consentement doit donc être granulaire; pour chaque finalité différente, un consentement différent doit être demandé. La demande de consentement ne peut pas non plus être noyée dans les conditions générales. Un exemple de finalité : la prospection commerciale directe.

«On le voit, les exigences du GDPR en termes de consentement sont particulièrement strictes, une quantité d’informations plus importante doit être communiquée à la personne concernée», poursuit Benoit De Nayer.

A savoir :

– l’identité du responsable du traitement : informations nécessaires à l’identification du responsable ainsi que de toutes les personnes susceptibles de recevoir les données;

– les buts des traitements : information claire, traitement par traitement, sur ce qui sera fait des données;

– les activités de traitement qui seront effectuées : information traitement par traitement à moins que les traitements soient indépendants;

– le droit de retirer le consentement à tout moment ainsi que la manière de le faire.

«Trop d’informations peut tuer l’information ! Le fait de noyer la personne concernée sous les informations peut mener à l’effet inverse de celui qui est concerné par le règlement, observe Benoit De Nayer. Au moment de l’obtention du consentement, seule l’information pertinente doit être communiquée. Le GDPR précise que lorsque le consentement est donné de manière électronique, l’information doit être fournie de manière concise et ne pas impacter négativement l’utilisation du service.»

La preuve du consentement

C’est au responsable du traitement d’apporter la preuve du consentement. Le texte ne précise toutefois pas comment cette preuve peut être rapportée. Il est d’usage de considérer le «date stamp» de la collecte comme une preuve suffisante : date, heure, URL de collecte, IP d’origine. La difficulté est d’apporter la preuve que toutes les mentions légales figuraient bien au moment de la collecte…

La solution proposée par ACTITO consiste à enregistrer le contexte du consentement : à savoir le moment précis de la collecte, la source ainsi que les informations qui ont été communiquées à la personne concernée au moment de l’obtention du consentement.

A ce propos, il est parfois avancé que le double opt-in serait la seule manière de garantir un consentement valable au sens du GDPR. Pour Benoit De Nayer, c’est totalement faux : cette exigence ne figure pas dans le texte.

A propos de l’âge, le GDPR indique que, pour les services de la société de l’information, le consentement des mineurs d’âge de moins de 16 ans ne peut être collecté qu’avec l’accord des parents. Le responsable de traitement devra donc, tenant compte des possibilités techniques, s’assurer de l’âge des personnes.

Autre question souvent posée : la validité des «anciens» consentements… En principe, note encore Benoit De Nayer, si les conditions -décrites plus haut- lors de la collecte du consentement ont été respectées, il n’est nul besoin d’obtenir un nouveau consentement; le préambule 171 du GDPR prévoit que, lorsque le traitement est fondé sur le consentement conformément à la directive 95/46/EC, il est conforme au GDPR. Toutefois, la preuve des conditions dans lesquelles le consentement a été collecté sera souvent difficile à apporter. Dans ce cas, il peut être utile de contacter les personnes concernées en vue de les inviter à réitérer la demande de consentement.

Enfin, le retrait du consentement. La personne concernée doit, à tout moment, pouvoir retirer son consentement au traitement de ses données. Le GDPR indique que ce retrait doit pouvoir s’effectuer par le même canal que celui par lequel le consentement a été donné. Si, par exemple, le consentement a été donné au travers d’un site web, la personne doit pouvoir le retirer via un «preference center» accessible sur le web.

Comment collecter un consentement valable et à en apporter la preuve ?

Aujourd’hui, à travers une application, ACTITO propose un ensemble d’outils permettant de se conformer aux exigences du GDPR. Le module «Formulaires et Pages» d’ACTITO permet ainsi de construire facilement un formulaire qui répond aux exigences légales et de conserver une preuve du consentement.

En particulier, le modèle de formulaire Preference Center offre les éléments nécessaires pour la captation d’un consentement conforme en mettant en place un système d’information par «couches» (layered consent).

Les informations principales sont disponibles sur la première page du formulaire. Un lien vers la politique de vie privée reprenant l’ensemble des informations requises est directement applicable dans le formulaire.
La base de données de contacts ACTITO est ensuite enrichie avec les données du formulaire ainsi que le moment auquel le consentement est donné.

La preuve du consentement peut être rapportée par référence au formulaire. Il est ainsi possible de retrouver exactement les conditions qui ont été soumises à la personne concernée. Et, ainsi, de répondre précisément et simplement au GDPR…

Summary
GDPR : comment obtenir un consentement valable ?
Article Name
GDPR : comment obtenir un consentement valable ?
Description
En matière de marketing, le GDPR renforce sensiblement le principe de consentement tout en restant dans la lignée de la directive européenne de 1995. Les conseils d'ACTITO pour y voir plus clair.
Author
Publisher Name
Solutions Magazine
Publisher Logo