Formulaires de consentement RGPD : comment faire ?
Créer des formulaires de consentement conformes au RGPD est primordial pour éviter les sanctions RGPD. Exemple récent avec Apple sanctionné de 8 millions d’euros et Voodoo (application de jeux mobiles) à 3 millions d’euros.
Quand créer un formulaire de consentement RGPD ?
Le consentement RGPD est nécessaire dans vos interactions directes ou indirectes avec les parties prenantes de l’entreprise, telles que :
- vos salariés (consentement à traiter les informations de salariés)
- lecteurs d’une newsletter (consentement à traiter les informations des lecteurs)
- vos clients (consentement à traiter les informations des clients)
- les utilisateurs de votre site web (consentement à traiter les informations des visiteurs du site)
- les utilisateurs de votre application (consentement à traiter les informations des utilisateurs)
Qu'est-ce qu'un formulaire de consentement RGPD ?
Un formulaire de consentement RGPD est un moyen par lequel l'entreprise recueille le consentement d'une partie prenante pour le traitement de ses données personnelles. Le consentement RGPD constitue l’une des six bases légales permettant la mise en œuvre d’un traitement de données personnelles.
Définition du consentement dans le cadre du RGPD :
- toute manifestation de volonté
- libre, spécifique, éclairée, univoque
- par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair
- que des données à caractère personnel la concernant fassent l'objet d'un traitement
Comment créer un consentement conforme au RGPD ?
Le consentement doit revêtir plusieurs critères pour être considéré comme conforme par le RGPD. Pour illustrer chaque critère, voici un exemple concret pour créer une formulaire de consentement avec : l’inscription à une newsletter lorsque l’on navigue sur un site de shopping en ligne.
5 critères sont à respecter pour un consentement conforme au RGPD :
- Proposer un consentement libre
- Présenter un consentement spécifique
- Présenter un consentement éclairé
- Proposer un consentement univoque
- Avoir la capacité de retirer le consentement RGPD
TUTO : comment créer un formulaire de consentement d'une newsletter ?
Proposer un consentement libre (1/5)
Cela induit qu’aucune contrainte ou violence quelconque n’a été effectuée sur la personne concernée afin d’obtenir son consentement. La personne concernée ne doit subir aucune conséquence négative en cas de refus. Si l’on revient sur notre exemple, le fait que la personne refuse de s’inscrire ne doit pas l’empêcher d’acheter des biens sur le site de e-commerce en question.
Proposer un consentement spécifique (2/5)
Le consentement ne peut être donné que pour un seul traitement et une seule finalité déterminée. Pour notre newsletter, l’adresse mail ne pourra être utilisée que pour cette newsletter, et pas pour autre chose. Pour rappel la finalité constitue l’objectif poursuivi par le traitement des données. Ainsi, il faudra demander à nouveau à la personne concernée son consentement pour chaque traitement ou finalité supplémentaire.
Proposer un consentement éclairé (3/5)
Pour que le consentement soit valide, la personne concernée doit avoir reçu plusieurs informations spécifiques lui permettant d’effectuer son choix en connaissance de cause. C’est pour cette raison que, bien souvent, sous la case qui sert à entrer l’adresse e-mail, on trouvera un lien vers la Politique de confidentialité du site, qui reprendra les éléments suivants : Identité du Responsable de Traitement, Finalités du traitement, Catégories de données collectées, Existence d’un droit au retrait du consentement et (le cas échéant), le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert dans un pays hors de l’UE.
Proposer un consentement univoque (4/5)
Cela veut dire qu’on ne doit avoir aucun doute quant à l’expression du consentement de la personne concernée. Pour s’en assurer il faut que la personne donne son consentement par un acte positif clair, c’est la personne qui a effectué une action pour donner son consentement. L’inaction ne peut pas constituer une forme de consentement. Concrètement, il sera interdit - par exemple dans le cadre des cookies - d’instaurer des cases pré-cochées pour leur acceptation ou bien de considérer que la continuité de la navigation sur le site en question est constitutive d’un consentement.
Avoir la capacité de retirer le consentement RGPD (5/5)
En plus des critères vu précédemment, le consentement doit pouvoir être retiré à n’importe quel moment. De ce fait, un traitement de données personnelles réalisé sur la base du consentement devra, en cas de retrait de ce dernier, être arrêté. De plus, ce retrait doit pouvoir s’effectuer par le biais d’une modalité "simple et équivalente" à celle utilisée pour le consentement. Pour revenir sur notre exemple : les mails envoyés aux inscrits à la newsletter devront comporter un lien de désabonnement, qui permettra ainsi le retrait du consentement.
Être en mesure de prouver le consentement RGPD (preuve)
Le responsable de traitement (incarné par la Direction) doit être en mesure de démontrer à tout moment que la personne concernée a bien consenti au traitement de ses données personnelles dans des conditions valables. Il faudra alors conserver les preuves du recueil du consentement ainsi que la preuve que les critères vus précédemment aient bien été respectés.
Créer un formulaire de consentement salarié
Pour obtenir le consentement RGPD d'un salarié, deux possibilités s’offrent à vous :
Faire consentir le salarié dès son arrivé dans l’entreprise avec une clause du contrat de travail dédiée à cet effet ou bien le faire consentir a posteriori, via un recueil de consentement en format numérique ou papier ou via une mention d’information (dans l'hypothèse où vous n'êtes pas encore conforme au RGPD).
Exemple de recueil de consentement destiné aux salariés :
Le document ci-dessus est partiel, et devra s'adapter à votre activité et votre stratégie interne.
En choisissant Blockproof, comme DPO externe ou bien, comme support juridique, vous obtiendrez des solutions adaptées à votre entreprise pour maintenir la paix sociale et vous sécuriser juridiquement.