- Le consentement doit être librement donné, spécifique, informé et sans ambiguïté (article 7)
- Les cases pré-tissés, le consentement implicite et le consentement groupé sont tous invalides en vertu du RGPD
- Le consentement doit être aussi facile à retirer qu'à donner — et le retrait doit être honoré immédiatement
- Ne pas utiliser le consentement lorsqu'une autre base légale (contrat, obligation légale) est plus appropriée
Le consentement en vertu du RGPD n'est pas le même que le consentement dans le langage courant. Il s'agit d'une norme juridique comportant des exigences spécifiques, et les organisations qui se fondent sur le consentement comme base légale principale découvrent souvent que ce qu'elles ont recueilli n'était pas du tout un consentement valide. Les Lignes directrices sur le consentement de l'EDPB fournissent des détails détaillés; ce guide traite des éléments pratiques essentiels pour les entreprises réglementées.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Les quatre conditions du consentement valide
1. Gratuitement donné
Le consentement n'est pas donné librement si l'individu n'a pas le choix réel ou s'il subirait un préjudice pour refuser. Cela signifie:
- Vous ne pouvez pas faire du consentement une condition d'un service (sauf si le traitement est vraiment nécessaire pour ce service)
- Le consentement au regroupement d'activités de traitement multiples dans une seule case n'est pas valide — chacun d'eux doit être approuvé séparément
- Lorsqu'il y a un déséquilibre de pouvoir évident (employeur-employé), le consentement des employés est généralement considéré comme non libre
2. Spécifique
Le consentement doit être spécifique à chaque but distinct. Des énoncés génériques comme « nous pouvons utiliser vos données à des fins de marketing et d'analyse » ne répondent pas aux exigences de spécificité. Chaque objectif — bulletins d'information par courriel, appels téléphoniques, profilage, partage avec les partenaires — exige son propre consentement.
3. Informé
Les personnes doivent avoir suffisamment d'information pour prendre une décision valable avant de consentir. Au minimum, vous devez leur dire: qui vous êtes, quelles données seront traitées, dans quel but, si elles seront partagées avec des tiers, et le fait qu'ils peuvent retirer leur consentement à tout moment.
4. Indications peu ambitieuses
Le consentement exige une action positive et positive — une option d'acceptation et non une option d'exclusion. Les cases pré-tissés, le consentement présumé de l'inaction ou le consentement enfoui dans les conditions sont tous invalides. L'action doit être claire et distinguable des autres questions.
Quand ne pas utiliser le consentement
Le consentement est souvent la mauvaise base légale. Si le traitement est nécessaire pour exécuter un contrat avec la personne concernée, utiliser l'exécution du contrat [article 6, paragraphe 1, point b)]. Si vous êtes légalement tenu de traiter les données, utilisez l'obligation légale [article 6, paragraphe 1, point c)]. Le fait d'utiliser le consentement pour traiter le fait que l'exécution d'un contrat ou l'obligation légale justifierait la réalisation d'un contrat crée un fardeau inutile de gestion du consentement et confère aux individus des droits (retirement facile, effacement possible) que la situation n'exige pas.
Erreur courante : Utiliser le consentement comme base légale pour le traitement de KYC. La KYC est une obligation légale en vertu de la législation sur la LAM — la base légale est l'article 6, paragraphe 1, point c), et non le consentement. Si vous recueillez le consentement de KYC, les personnes peuvent le retirer à tout moment, ce qui vous empêcherait de remplir votre obligation légale.
Gestion des dossiers de consentement
En vertu de l'article 7, paragraphe 1, vous devez être en mesure de démontrer qu'une personne a donné son consentement. Cela signifie que votre système de gestion du consentement doit saisir :
- Qui a consenti (lié à un dossier individuel)
- Quand ils ont consenti (timestamp)
- Ce à quoi ils ont consenti (l'objet spécifique et la version de l'avis de consentement montré)
- Comment ont-ils consenti (quel mécanisme — présentation de formulaire, case à cocher, etc.)
Traitement du retrait du consentement
L'article 7, paragraphe 3, stipule que le retrait doit être aussi facile que le consentement. Si le consentement a été donné en cliquant sur une case à cocher sur un site Web, le retrait doit également être possible avec un niveau d'effort comparable — et non par une lettre écrite à un agent de conformité. Lorsque le consentement est retiré:
- Le traitement fondé sur ce consentement doit cesser immédiatement
- Les données recueillies uniquement sur la base de ce consentement doivent être supprimées (sauf si une autre base légale s'applique)
- Le retrait n'affecte pas la légalité du traitement effectué avant le retrait
Communications de consentement et de commercialisation
Pour les communications de marketing électronique (email, SMS), la directive ePrivacy (PECR au Royaume-Uni) s'applique aux côtés du RGPD. En général, un consentement préalable est requis pour la commercialisation à des particuliers. Le marketing B2B vers les adresses courriel d'affaires peut s'appuyer sur la règle d'opt-in "soft" où le destinataire est un client existant et le marketing est pour des produits ou services similaires.
Combien de temps dure le consentement?
Le RGPD ne fixe pas de période maximale, mais l'EDPB recommande un consentement rafraîchissant périodiquement lorsque la relation est en cours. Si les circonstances ont changé depuis que le consentement initial a été donné, vous devriez demander de nouveau le consentement. Documentez votre politique de renouvellement de consentement.
Les enfants peuvent-ils donner leur consentement en vertu du RGPD?
L'article 8 du RGPD limite la capacité des enfants à donner leur consentement aux services de la société de l'information aux personnes âgées de 16 ans ou plus (les États membres peuvent réduire cette capacité à 13 ans). Le consentement des parents ou des tuteurs est requis pour les jeunes enfants. Vérifier l'âge de l'enfant et tenir des registres.
Gérer le consentement aux côtés de vos relations client
HubSecure CRM enregistre l'état du consentement, les horodatages et les dates de retrait pour chaque client — de sorte que vos listes de marketing sont toujours conformes et prêtes à l'audit.
Réservez une démoSources officielles et lectures complémentaires
Utiliser ces sources publiques pour vérifier le contexte réglementaire et la terminologie. HubSecure contenu est l'orientation des produits, pas des conseils juridiques.
Notes de crédibilité
Ce guide est rédigé pour l'évaluation des produits et des opérations, et non comme un avis juridique. Pour les obligations de conformité, confirmer les exigences auprès d'un avocat qualifié ou de l'organisme de réglementation pertinent.
Related HubSecure références: Sécurité · DPA · Sous-processeurs · Glossaire AML/KYC · Glossaire RBAC
Examen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale