Réponse
Une demande de consentement doit être présentée de manière claire et concise, en utilisant des termes faciles à comprendre, et se distinguer clairement des autres informations telles que les conditions. La demande doit préciser l’usage qui sera fait de vos données à caractère personnel et comprendre les coordonnées de l’entreprise/organisation qui traite les données. Le consentement doit être donné de manière libre, spécifique, éclairée et univoque. «Éclairée» signifie que vous devez recevoir des informations sur le traitement de vos données à caractère personnel reprenant au moins:
- le nom de l’organisation qui traite les données,
- les finalités pour lesquelles les données sont traitées,
- le type de données qui seront traitées,
- la possibilité de retirer le consentement (par exemple en envoyant un courrier électronique),
- le cas échéant, le fait que les données seront utilisées pour la prise de décisions fondée exclusivement sur un traitement automatisé, y compris le profilage,
- des informations indiquant si le consentement concerne le transfert international de vos données, les risques éventuels liés aux transferts de données vers des pays situés en dehors de l’UE si ces pays ne sont pas soumis à une décision d’adéquation de la Commission et qu'il n'y a pas de garanties appropriées.
Exemples
Consentement non requis conformément à la loi
Vous vous inscrivez à une école de musique pour prendre des cours de piano. Le formulaire d’inscription contient un long document rédigé en petits caractères reprenant des termes juridiques et très techniques, évoquant notamment la possibilité que l’école puisse transmettre vos données à caractère personnel à des détaillants d’instruments de musique. L’école enfreint la loi étant donné que votre consentement à recevoir du matériel promotionnel (potentiellement de détaillants d’instruments) ne vous a pas été demandé comme le prévoit la loi.
Vous souhaitez ouvrir un compte bancaire en ligne et confirmer votre demande. Une page s’ouvre et vous propose deux cases à cocher: «J’accepte les conditions» et «J’accepte que la décision relative à l’octroi d’une carte de crédit repose uniquement sur le profilage sans aucune intervention humaine». Les deux cases à cocher sont activées (cochées) par défaut. Vous devez désactiver la case à cocher correspondante si vous ne souhaitez pas faire l’objet d’une décision relative à l’octroi d’une carte de crédit reposant uniquement sur le profilage. Or, même si vous ne désactivez pas cette case à cocher, la banque ne saurait prétendre avoir obtenu votre consentement étant donné que les cases présélectionnées ne sont pas considérées comme étant un consentement valide en vertu du RGPD.
Références
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.