RGPD : l'opt-in / opt-out, la question du consentement

Données personnelles 241 Vues 0 commentaire

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, son objectif est de renforcer et d’harmoniser la sécurité liée au traitement des données personnelles des citoyens de l’Union européenne. Certaines de ses dispositions traitent de la question du consentement à la collecte de données.

Aux termes du considérant 26 du RGPD, une donnée pourra être qualifiée de donnée à caractère personnel :

Dès lors qu’elle concerne des personnes physiques identifiées ou identifiables.

Ainsi, un nom, une photo, une adresse postale, une adresse mail, un numéro de téléphone, constituent des données à caractère personnel. 

Qu’est-ce que l’opt-in et l’opt-out ?

Le RGPD encadre les procédures de collecte et de traitement des données à caractère personnel. Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des 6 « bases légales » prévues par le RGPD.

Les deux bases légales les plus fréquentes sont : 

  • le contrat : le traitement de donnĂ©es est nĂ©cessaire Ă  l’exĂ©cution ou Ă  la prĂ©paration d’un contrat avec la personne concernĂ©e ;
  • le consentement : la personne a consenti au traitement de ses donnĂ©es.

L’opt-in (choisir d’accepter) et l’opt-out (ne pas choisir d’accepter) correspondent à des méthodes utilisées en vue de recueillir des données personnelles, comme par exemple l'adresse l'email ou le numéro de téléphone d’un utilisateur, en vue notamment de le contacter par la suite à des fins de prospection commerciale.

  1. L'opt-in est un accord actif et préalable de la part de l’utilisateur :

    S'il n'a pas dit "oui", alors c'est "non". Il est également possible de mettre en place un double opt in, qui est un processus de vérification et de confirmation de l’opt-in. Ainsi, il sera vérifié que l’adresse e-mail fournie est exacte et que la personne l’ayant renseignée confirme son consentement au traitement de données personnelles envisagé ;

  2. L'opt-out correspond à l’absence d’accord, si l’utilisateur n’a pas dit “non”, c’est “oui” :

    L’opt-out autorise donc le professionnel à opérer un traitement de données à caractère personnel, par exemple : envoyer des contenus à visée prospective sans le consentement préalable du destinataire qui sera automatiquement inscrit sur la liste de diffusion de l’entreprise.

L’opt-in est la règle en matière de prospection commerciale, particulièrement lorsque le traitement de données concerne un particulier (B2C, business to consumer). Le recours à l’opt-out est permis dans le cadre de relations commerciales entre professionnels (B2B, business to business) si le contenu à visée prospective est en lien avec la profession de son destinataire. 

L’article L34-5 du Code des postes et des communications électroniques dispose également que :

Est interdite la prospection directe au moyen [...] d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.

Comment se conformer en pratique ?

Pour mettre en place un processus d’opt-in conforme au RGPD, il est nécessaire que l’utilisateur exprime un consentement actif, en décidant par exemple de cocher une case l’informant de manière claire et précise de la finalité du traitement (et non qu’elle soit cochée par défaut). 

Il est également conseillé que chaque traitement prévu pour les données personnelles collectées fasse l’objet d’un consentement spécifique. Le formulaire contiendra autant de case à cocher qu’il y a de traitement de données personnelles effectué. Le consentement doit être clair, transparent et univoque. Il est conseillé de mettre en place des listes distinctes afin de prendre en compte les préférences exprimées par les personnes concernées si le consentement est donné pour certains traitements seulement.

Une fois le consentement recueilli (ou en cas d’opt-out) il est nécessaire, dans tous les cas, que les personnes concernées puissent refuser de recevoir d’autres sollicitations dans le futur, le cas échéant en retirant leur consentement, par exemple par un lien de désabonnement figurant dans le courriel de prospection et en prenant en compte effectivement ce choix. 

L’article 7 du RGPD dispose en effet que :

La personne concernée a le droit de retirer son consentement à tout moment [...] Il doit être aussi simple de retirer que de donner son consentement.

Il est également important d’informer la personne concernée des traitements des données personnelles collectées. Les utilisateurs doivent être informés de leurs droits d’accès, de rectification, d’opposition, de suppression, à la portabilité.

Quelles sanctions en cas de non conformité ?

Les entreprises encourent des amendes administratives allant jusqu'à 4 % du chiffre d’affaires ou 20 millions d’euros. En outre, les sanctions peuvent être rendues publiques, une sanction pour non-conformité au RGPD peut avoir une incidence importante sur la réputation de votre entreprise. 

À titre d’illustration, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné le 8 décembre 2020 une entreprise à hauteur de 20 000 euros pour avoir, notamment, adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects (4).

Image de Jérémy DUMEZ

Diplômé du Magistère Juriste d'Affaires - DJCE de l'Université Panthéon-Assas (Paris II), élève-avocat à l'École de Formation du Barreau de Paris (EFB) et rédacteur juridique indépendant.

Obtenez un devis en 24 heures par nos avocats

Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :

Type de contrat :

Votre besoin :

Votre besoin :

Votre besoin :

Type de règlement :

Votre besoin :

Vos informations :

* : champs obligatoires

Lectures en lien

des buildings vus en contreplongée

La société holding : comment la constituer ?

Societes 276 Vues 0 commentaire

Qu'est-ce qu'une société holding ? Quelle forme peut-elle revêtir ? Quelles sont les différentes possibilités pour la constituer ? Nous vous apportons des réponses sur cette société classiquement utilisée dans le monde de la gestion des groupes d'entreprises.

des produits cosmétiques

Quelles sont les particularités de la vente de cosmétiques sur Internet ?

E-commerce 220 Vues 0 commentaire

La vente de produits cosmétiques est encadrée par la loi et des obligations pèsent sur le distributeur de tels produits, notamment en raison des risques pour la santé qui peuvent résulter de la vente de produits non-conformes. Découvrez les spécificités liées à la vente de produits cosmétiques sur Internet.

paysage d'une ville avec des gratte-ciels

Holding et financement de filiales : la convention de trésorerie intragroupe

Societes 205 Vues 0 commentaire

Aussi appréciée par les dirigeants que traquée par les administrations, la convention de trésorerie est une solution de financement intragroupe qui a, sur le papier, tout pour plaire : acte sous-seing privé, informel, souple et opposable à l’administration fiscale, faut-il pour autant y céder à tout prix ? 

une personne signant un contrat

Pacte d'actionnaire : qu'est-ce qu'une clause d'agrément ?

Societes 80 Vues 0 commentaire

La composition de l’actionnariat est fondamentale pour assurer le contrôle et la pérennité d’une société, notamment familiale. Pour assurer un contrôle de l’entrée des nouveaux associés de la société, une clause d’agrément peut être insérée dans les statuts. Analyse du fonctionnement de cette clause.

un homme signant un document

La clause d'anatocisme, pourquoi et comment faire ?

Contrats 44 Vues 0 commentaire

La clause d’anatocisme est devenue une clause standard dans les contrats de crédits et dans les contrats commerciaux, il est donc important de comprendre le mécanisme de l’anatocisme (ou capitalisation des intérêts). Analyse de la clause d'anatocisme et de son encadrement.