La règle de base du RGPD est que l'utilisateur doit donner son consentement explicite, par une démarche active, en vue de la conservation et du traitement de ses données personnelles.
Il est interdit de recourir à des cases déjà cochées (opt-out) pour diffuser une lettre d'information ou des communications commerciales.
Un exemple
Vous collectez des données de vos clients, parmi lesquelles l'adresse e-mail. Vous vous servez de cette dernière pour diffuser un mailing mensuel avec une description de vos services et promotions.
Non conforme au RGPD
À la création du compte client, le fait est mentionné en très petits caractères au bas de la page web, et la case « je suis d'accord » est préalablement cochée.
Manifestement pas de démarche active de la part du client, donc pas de traitement licite des données personnelles.
Conforme au RGPD
À la création du compte, le fait est mentionné en gras et en capitales sur le site web, avec la formule « je suis d'accord avec le traitement » que le client doit cocher pour activer le mailing. Cela nécessite clairement une démarche active de la part du client, donc parfaitement conforme au RGPD.
Exceptions
Avons-nous toujours besoin du consentement du client ? Non, il existe heureusement des exceptions logiques.
Consentement et obligations contractuelles
La principale exception est sans doute que le consentement n'est pas requis lorsque le traitement est nécessaire à l'exécution d'un contrat avec le client.
Si un client vous achète des services, cela fait naître une relation contractuelle. Vous fournissez le service, et le client vous rétribue pour votre prestation. Lorsque vous traitez les données du client pour établir et envoyer la facture, vous le faites pour exécuter le contrat passé avec le client. Dans un tel cas, vous n'avez pas besoin du consentement du client.
Obligation légale
Une autre exception concerne l'existence d'une obligation légale imposant le traitement.
Exemple : Vous recueillez des données de vos employés. Vous les enregistrez dans un fichier que vous transmettez ensuite à votre secrétariat social. Celui-ci s'en sert pour calculer les salaires et payer votre personnel. Les secrétariats sociaux doivent aussi transmettre des copies des documents salariaux aux autorités. Le fisc est parfaitement au courant de ce que vous gagnez. Dans cet exemple, il est clairement question d'une obligation légale à respecter, l'équivalent du consentement de la personne concernée.
Pour conclure, citons encore quelques exceptions :
- Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- Le traitement est indispensable pour accomplir une tâche d'intérêt général.
Données d'enregistrement
Chez DNS Belgium, nous connaissons un cas très clair relevant de cette catégorie : la demande de données d'enregistrement de titulaires particuliers. Nous n'affichons plus les coordonnées de contact des titulaires particuliers. Cela ne signifie pas que ces éléments soient définitivement verrouillés.
Via un formulaire web, il est possible de demander à DNS Belgium les coordonnées du titulaire d'un nom de domaine. Naturellement, la demande doit être dûment motivée, et nous n'y accédons qu'après vérification par notre service juridique.