Menu Consentement aux Cookies Commencez ici

Exemples Consentement RGPD

Mise à jour le 01 July 2022 de PrivacyPolicies.com Legal Writing Team
Exemples Consentement RGPD

Un débordement d'activité a récemment été constaté concernant l'obtention d'un consentement. Les sites Internet présentent des « bannières sur les cookies. » Les entreprises envoient des courriels demandant si les utilisateurs souhaitent toujours être inscrits à des listes de diffusion. La liste ne s'arrête pas là.

Et tout cela en raison du Règlement général sur la protection des données (RGPD) de l'UE, une loi relative à la confidentialité qui définit des normes plus rigoureuses concernant le consentement que celles auxquelles bon nombre d'entreprises étaient habituées. En vertu du RGPD, le consentement désigne un véritable consentement. Certaines méthodes qui étaient précédemment employées pour obtenir un consentement ne sont plus valables.

Voyons comment votre entreprise peut s'assurer d'obtenir un consentement de la bonne manière, et pour les bonnes raisons.


Qu'est-ce que le RGPD ?

Qu'est-ce que le RGPD ?

Le RGPD est très certainement la loi relative à la confidentialité la plus stricte au monde. Mais les lois rigoureuses de l'UE relatives à la confidentialité et à la protection des données ne sont pas nouvelles. La Directive relative à la protection des données, une loi relative à la confidentialité plus ancienne que le RGPD remplace, et la Directive relative à la vie privée et aux communications électroniques, parfois appelée « loi sur les cookies », offraient déjà aux ressortissants de l'UE un niveau élevé de protection de la vie privée.

Le RGPD a eu un impact particulièrement significatif, notamment parce qu'il s'applique également aux sociétés hors UE.

Qui doit se conformer au RGPD ?

Le RGPD s'applique à votre société, que vous soyez ou non basés au sein de l'UE, tant que vous :

  • Proposez des biens et services aux personnes résidant au sein de l'UE. Et ce, que votre société soit à but lucratif ou non.
  • Surveillez le comportement de personnes au sein de l'UE. Ceci peut comprendre le « profilage » de personnes - en essayant de prédire comment elles pourraient agir d'après des observations concernant leur comportement passé. Ceci est en fait très courant car c'est ce que bon nombre de cookies publicitaires font.

Que couvre le RGPD ?

Chaque fois que votre société traite des données à caractère personnel, elle doit se conformer au RGPD. Le traitement de données à caractère personnel est une activité que les sociétés mènent au quotidien.

« Données à caractère personnel » désigne des informations qui peuvent être utilisées pour identifier une personne. Si vous vous demandez si des informations peuvent être qualifiées de données à caractère personnel, vous pouvez être sûrs que c'est probablement le cas.

Les adresses IP dynamiques, par exemple, ont été déclarées par la magistrature suprême de l'UE constituer des données à caractère personnel. Ceci parce qu'une adresse IP dynamique peut en théorie être associée à d'autres informations pour identifier une personne. Certains cookies sont également concernés.

« Traitement » de données à caractère personnel désigne des opérations qui sont effectuées sur ces dernières. Là encore, si vous vous demandez si des opérations peuvent être qualifiées de traitement, il y a de fortes chances que cela soit le cas.

Outre les activités évidentes comme relever des coordonnées de paiement ou dresser une liste de diffusion, une opération comme stocker l'adresse IP d'une personne dans les fichiers journaux de votre serveur Web peut également constituer un « traitement de données à caractère personnel. »

En quoi le consentement est différent en vertu du RGPD

En quoi le consentement est différent en vertu du RGPD

Il existe deux types de consentement dans la plupart des lois relatives à la confidentialité : implicite et explicite.

Ils peuvent s'appeler différemment. Par exemple, dans la loi relative aux courriels commerciaux Spam Act 2003 australienne (loi de 2003 relative aux spams), le consentement implicite est appelé « consentement présumé. » Et aux États-Unis, la loi relative à la confidentialité CAN-SPAM appelle le consentement explicite « consentement positif. »

Alors que la plupart des lois relatives à la confidentialité reconnaissent les deux types de consentement, le consentement implicite n'existe pas dans le RGPD. Il est beaucoup plus difficile de démontrer que vous avez obtenu le consentement d'un client en vertu du RGPD qu'en vertu d'autres lois relatives à la confidentialité.

Consentement implicite

« Consentement implicite » désigne essentiellement le fait que vous avez des raisons de croire qu'une personne vous donnerait son consentement si vous le demandiez.

Un consentement implicite peut exister dans une relation entre un client et une entreprise. Si une personne achète régulièrement des produits à une entreprise, cette entreprise pourrait raisonnablement croire que cette personne a consenti à recevoir des courriels de marketing de sa part. L'entreprise devra pratiquement toujours proposer au client une « option de refus » quant à ces communications au moyen d'une fonction de désinscription.

Par exemple, dans la Loi canadienne anti-pourriel (LCAP), une loi relative à la confidentialité, un consentement implicite existe automatiquement sous certaines conditions. Le Gouvernement du Canada l'explique sur son site Internet :

FAQ LCAP Gouvernement du Canada : Qu'est-ce que le consentement implicite

Consentement explicite

Le consentement explicite est ce que « consentement » désigne en vertu du RGPD. Vous demandez le consentement d'une personne, elle comprend la question et les répercussions, et elle fait un véritable choix.

La loi anti-spam Loi de 2007 sur les messages électroniques non sollicités de la Nouvelle-Zélande reconnaît à la fois le consentement explicite et le consentement implicite. Voici comment le Ministère des affaires intérieures néo-zélandais caractérise le consentement explicite pour l'envoi de courriels commerciaux :

Ministère néo-zélandais des affaires intérieures : Exemples de consentement explicite

Cinq éléments du consentement en vertu du RGPD

L'Article 4 du RGPD définit le consentement comme « tout acte positif clair libre, spécifique, éclairé et univoque ... » par lequel une personne donne sa permission pour que ses données à caractère personnel soient traitées d'une manière particulière.

Nous pouvons le décomposer en cinq éléments :

  1. Libre - la personne ne doit pas subir de pressions pour donner son consentement ni subir de préjudice en cas de refus.
  2. Spécifique - il doit être demandé à la personne de consentir à des types individuels de traitement des données.
  3. Éclairé - il doit être indiqué à la personne ce à quoi elle consent.
  4. Univoque - le langage doit être clair et simple.
  5. Acte positif clair - la personne doit explicitement consentir en faisant ou en disant quelque chose.

S'il vous manque un seul de ces cinq éléments, vous n'avez pas le consentement en vertu du RGPD.

Quand un consentement est-il requis ?

L'un des mythes qui circulent au sujet du RGPD est qu'il exige un consentement pour tous les types de traitement de données. C'est faux.

Le RGPD n'est que l'une des six bases légales concernant le traitement de données à caractère personnel prévu par le RGPD. Elles sont résumées par l' YInformation Commissioner's Office (l'autorité britannique de protection des données) :

Liste des bases légales du traitement de l'ICO

En règle générale, vous ne devez pas demander un consentement si :

  • Vous exécutez un service de base (utilisez un contrat à la place).
  • Vous êtes tenus par la loi de traiter des données à caractère personnel (obligation légale).
  • Vous traitez des données à caractère personnel au profit de votre société ou d'autres personnes d'une manière à laquelle vos utilisateurs s'attendraient raisonnablement, avec un risque et un impact minimes sur les personnes (intérêts légitimes).

Vous devez demander un consentement lorsque vous offrez un véritable choix concernant un service non-essentiel. Parmi les exemples types figurent :

  • Utilisation de cookies de suivi/publicitaires
  • Envoi de courriels ou bulletins d'information de marketing
  • Partage de données à caractère personnel avec d'autres sociétés à des fins commerciales

Comment obtenir un consentement en vertu du RGPD

Comment obtenir un consentement en vertu du RGPD

Vous devez mettre en œuvre les cinq éléments du consentement chaque fois que vous demandez un consentement à vos utilisateurs.

Consentement à des cookies

De nombreuses bannières sur les cookies sont apparues depuis la mise en œuvre du RGPD. Bon nombre d'entre elles seraient appropriées en vertu d'un système qui autorise un consentement « implicite », mais n'oubliez pas que le RGPD reconnaît uniquement le consentement explicite.

Here's how you can use our Cookie Consent to implement a cookie management solution for your website.

  1. Start building your Cookie Consent by choosing your compliance preference on step 1:

    2. PrivacyPolicies.com: Cookies Consent - Choose your compliance preference - Step 1

  2. On step 2 customize your Cookie Consent - choose banner type and pick color palette:

    3. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  3. Continue with customizing your Cookie Consent widget to best fit your website.

    4. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  4. You can also group your JavaScript automatically using our builder page on step 3. Pass all your JavaScript through here so that we can include the necessary cookie consent level:

    5. PrivacyPolicies.com: Cookies Consent - Add your JavaScript scripts - Step 3

  5. And you're done! Now just copy your Cookie Consent code and append it to your website page before the closing of the </body> tag.

    PrivacyPolicies.com: Cookies Consent - Copy your Cookie Consent code - Step 4

    For more info you can check Cookie Consent levels that are available in Cookie Consent.

Puis il y a les bannières sur les cookies qui demandent presque un consentement mais sont toujours en-deçà des normes, comme cet exemple du Southbank Centre :

Avis relatif aux cookies du Southbank Centre

Un consentement n'est même pas demandé dans cet exemple et des cookies sont placés par défaut. Les utilisateurs sont dirigés vers des informations complémentaires, qui les informent sur la manière d'exercer leur option de refus concernant les cookies.

Mais n'oubliez pas les cinq éléments. Un consentement n'est pas donné librement dans le cadre de cette approche. Il n'est pas non plus univoque, ni donné au moyen d'un acte positif clair.

Voici un exemple d'avis relatif aux cookies de bien meilleure qualité, de la Banque centrale européenne :

Avis relatif aux cookies de la Banque centrale européenne

Les cinq éléments sont ici tous présents. Le consentement est :

  1. Donné librement - l'accent n'est porté ni sur « accepter » ni sur « ne pas accepter. »
  2. Éclairé - la raison du traitement est indiquée à l'utilisateur, qui est invité à en savoir plus.
  3. Univoque - le langage est clair et facile à comprendre.
  4. Spécifique - l'utilisateur est invité à consentir à un seul type de traitement de données.
  5. Obtenu au moyen d'un acte positif clair - l'utilisateur doit cliquer sur « Je comprends et j'accepte. »

Veuillez noter qu'une case à cocher « Je suis d'accord » supplémentaire n'est pas requise. Un seul clic suffit pour une demande de consentement.

C'est un cas assez simple - le site Internet de la Banque centrale européenne n'utilise que des cookies très basiques. Voici un exemple d'Experian montrant comment demander un consentement spécifique pour différents types de cookies :

Écran paramètres du Centre de Préférences Confidentialité Experian

Vous devez informer vos utilisateurs de votre utilisation de cookies dans votre Politique de Confidentialité (ou Politique relative aux Cookies). Voici comment Makermet explique les différents types de cookies que la société utilise :

Politique relative aux cookies Makermet : Tableau nom et objet des cookies

N'oubliez pas que le consentement ne se résume pas à ce que vous dites, il porte également sur ce que vous faites. Ne placez pas de cookies publicitaires si vos utilisateurs n'y ont pas consenti.

Consentement à l'envoi de supports de marketing

Le RGPD devrait sonner la fin de la case pré-cochée, une tactique employée depuis de nombreuses années par des sociétés espérant amener par la ruse les abonnés à rejoindre accidentellement leur liste de diffusion.

Il semblerait qu'il existe une distinction assez minime entre demander à quelqu'un de cocher une case et demander à quelqu'un de décocher une case. Or, « ne pas décocher une case » n'est pas conforme à l'un quelconque des cinq éléments du consentement en vertu du RGPD. Cela ne peut par conséquent pas être utilisé pour prouver que vous avez le consentement d'une personne.

Vous pouvez facilement mettre en œuvre les cinq éléments du consentement du RGPD lorsque vous demandez à des personnes de s'inscrire à votre liste de diffusion. Voici un exemple de Dynastar :

Formulaire d'inscription au bulletin d'information par e-mail Dynastar

Dans quelle mesure répond-il aux cinq éléments ?

  1. Donné librement - l'utilisateur a manifestement le choix de communiquer ou non son adresse e-mail.
  2. Éclairé - la raison du traitement est indiquée à l'utilisateur, mais le mot « marketing » est inscrit en petits caractères. L'utilisateur est invité à lire la Politique de Confidentialité de Dynastar.
  3. Univoque - le langage est clair et facile à comprendre.
  4. Spécifique - il pourrait être indiqué plus clairement que le bulletin d'information est une forme de marketing, mais c'est un point mineur.
  5. Obtenu au moyen d'un acte positif clair - saisir son adresse e-mail et cliquer sur « s'inscrire au bulletin d'information » est un acte positif clair.

C'est un assez bon exemple de mécanisme d'inscription à une liste de diffusion.

Voici un autre exemple de Cooper Vision. Premièrement, il est indiqué exactement à l'utilisateur à quoi il s'inscrit :

Avis de non-responsabilité formulaire d'inscription aux actualités de marketing Cooper Vision

Puis l'utilisateur se voit proposer différents choix sur la manière de recevoir les informations :

Formulaire d'inscription aux courriels de marketing avec options Cooper Vision

La demande de consentement de Cooper Vision satisfait amplement les exigences du RGPD.

Souvent, le consentement à l'envoi de supports de marketing est obtenu lorsque l'utilisateur s'inscrit à un autre service ou interagit autrement avec votre société. Voici un exemple de Protect Your Gadget. À ce stade, l'utilisateur est sur le point de s'inscrire pour recevoir un devis d'assurance :

Formulaire d'inscription aux courriels Protect your Gadget

Tant qu'il est clair qu'il s'agit d'une option distincte, et que la réponse par défaut est « non », il n'y a alors pas de problème dans ce cas. Un problème survient si un utilisateur s'inscrit à des supports de marketing sans réaliser qu'il l'a fait ou sans le faire activement.

À ce propos, il convient également de mettre en œuvre une « option d'inclusion confirmée » selon laquelle il est demandé aux utilisateurs de confirmer leur inscription via un courriel de validation. Voici un exemple de Textbroker :

Courriel pour confirmer l'inscription au bulletin d'information de Textbroker

Consentement à un marketing de tiers

Il existe deux moyens d'obtenir l'engagement de vos utilisateurs concernant un marketing d'autres sociétés. Vous pouvez leur envoyer directement des supports de marketing de tiers, ou vous pouvez communiquer leurs coordonnées à d'autres sociétés.

Aucune des deux options n'est interdite en vertu du RGPD. Mais comme pour tous les aspects du traitement de données, vous devez être clairs et transparents. Vous devrez pratiquement toujours demander un consentement à ces fins.

Vous ne devez pas regrouper votre demande de consentement pour la communication de données à caractère personnel avec d'autres demandes de consentement. Consultez cette demande de consentement d'Escapio :

Formulaire d'inscription au bulletin d'information par e-mail Escapio

Il est indiqué aux utilisateurs qu'ils s'inscrivent à « nos astuces et offres d'Escapio. » Mais si vous défilez vers le bas de la page, d'autres informations apparaissent :

Informations au sujet du contenu du bulletin d'information par e-mail d'Escapio

L'utilisateur recevra des informations de marketing de tiers, des recommandations d'hôtels, des jeux-concours - bien plus que des « astuces et offres » d'Escapio. Le consentement pour tous ces éléments est regroupé en une seule demande. Cette demande ne semble pas satisfaire l'exigence selon laquelle le consentement est « spécifique. »

Voici un exemple de demande de consentement non regroupée de Steam Railway :

Cases à cocher du formulaire d'inscription par e-mail Steam Railway

Ce sont trois différentes fins auxquelles l'adresse e-mail des utilisateurs sera destinée. Il est par conséquent approprié de demander un consentement de trois manières différentes avec trois cases à cocher différentes.

Voici un autre exemple de demandes de consentement non regroupées d'Alfa Romeo :

Formulaire Alfa Romeo de consentement à des communications de marketing, de profilage et de tiers

C'est un excellent exemple de consentement qui est donné librement, éclairé, spécifique, univoque, et donné au moyen d'un acte positif clair.

Le sixième élément du consentement - Facilement retiré

Il existe une sixième exigence en vertu du RGPD - le consentement doit être facile à retirer.

Bien évidemment, vous devez inclure une fonction de désinscription dans vos courriels de marketing. Voici comment Hermes procède :

Courriel de Hermes avec option de désinscription

D'autres moyens de retirer son consentement doivent être clairement expliqués dans votre Politique de Confidentialité. Voici comment Bauer Publishing procède :

Politique de Confidentialité Bauer Publishing : Clause de consentement

Les cookies peuvent souvent être gérés via un « gestionnaire de cookies. » Voici un exemple de Onedox :

Capture d'écran de l'outil gestionnaire de cookies Onedox

Veuillez noter que bon nombre de ces paramètres doivent être « désactivés » par défaut.

Consentement sur une application mobile

Les principes d'obtention d'un consentement sont les mêmes sur les applications mobiles que sur tout autre support.

Voici un exemple de demande de consentement de l'application mobile de Swiftkey :

Écran d'installation de l'application Android Swiftkey avec acceptation des Conditions de Service et de la Politique de Confidentialité en évidence

Swiftkey prétend obtenir le consentement lorsque l'utilisateur installe l'application. L'installation de l'application n'est sans doute pas un acte univoque ou positif clair qui indique nécessairement un consentement.

Ce n'est pas nécessairement un problème si l'application ne collecte pas d'informations qui seront utilisées pour cibler des publicités (qui exigent un consentement spécifique). Un rapide coup d'œil à la Déclaration de Confidentialité de Swiftkey (exploitée par Microsoft) indique qu'un consentement spécifique doit de préférence être demandé parce que les informations collectées sont utilisées pour cibler des publicités.

Déclaration de confidentialité Microsoft : Clause Comment nous utilisons des données à caractère personnel avec article publicité et marketing en évidence

Il est courant sur les applications mobiles que des informations comme les données de localisation puissent être collectées pour des services non-essentiels. Vous devez permettre à vos utilisateurs de le contrôler. Voici un excellent exemple de consentement éclairé deGoogle :

Écran de demande de consentement de l'application Android Google Drive

Résumé - Obtenir un consentement en vertu du RGPD

Pour que le consentement soit valable en vertu du RGPD, il doit être :

  • Donné librement - n'essayez pas « d'amener par la ruse » vos utilisateurs à donner leur consentement. Ne retirez pas d'autres services s'ils choisissent de ne pas donner leur consentement.
  • Spécifique - si vous souhaitez traiter le consentement d'une personne à des fins multiples, vous devez lui demander son consentement pour chaque type de traitement.
  • Éclairé - fournissez des informations claires sur ce à quoi il est demandé à l'utilisateur de consentir, et sur la marche à suivre s'il change d'avis.
  • Univoque - employez un langage clair et simple et offrez un choix simple.
  • Donné au moyen d'un acte positif clair - ne supposez jamais que vous avez obtenu le consentement d'une personne tant qu'elle n'a pas activement accepté quelque chose.

Et enfin, une fois que vous avez obtenu le consentement d'une personne, vous devez lui permettre de le retirer facilement.

PrivacyPolicies.com Legal Writing Team

Mise à jour le 01 July 2022

Les informations juridiques, modèles de documents juridiques et mentions légales ne constituent pas des conseils juridiques.. Veuillez lire l'avis de non-responsabilité.

Commencez ici

Articles connexes

Modèle de Politique relative aux Cookies Type

Modèle de Politique relative aux Cookies Type

Si votre société utilise des cookies ou autres formes de fichiers pour collecter et stocker des informations d'utilisateurs, il est absolument nécessaire d'inclure une Politique relative aux Cookies sur votre...

Les Politiques de Confidentialité sont exigées par la loi

Les Politiques de Confidentialité sont exigées par la loi

Les lois relatives à la confidentialité à travers le monde imposent que si vous collectez des informations à caractère personnel auprès des visiteurs de votre site Internet, alors, vous devez...

Politique de Confidentialité RGPD

Politique de Confidentialité RGPD

Le Règlement général sur la protection des données (RGPD) est une législation de l'UE qui vise à procurer aux ressortissants de l'UE un meilleur contrôle de leurs données. En vertu...