Idée reçue sur le RGPD : le consentement serait désormais nécessaire pour tout traitement

Cela est faux. Le consentement n’est qu’une des 6 possibilités prévues par le RGPD.

L’article 6 dispose :

  1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Et la CNIL confirme :

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

Quant est-il de la prospection commerciale?

L’article L34-5 du Code des postes et des communications électroniques impose d’obtenir le consentement exprès des personnes (opt in) en matière de prospection au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique.

Mais il existe une exception, dont peuvent se prévaloir de nombreuses entreprises lorsqu’elles ont déjà été en contact avec la personne « à l’occasion d’une vente ou d’une prestation de services » : le consentement n’est pas obligatoire si les 6 conditions suivantes sont réunies (cumulativement) :

  • les coordonnées du destinataire ont été recueillies directement auprès de lui (pas d’achat de fichiers),
  • la prospection directe concerne des produits ou services analogues à ceux fournis antérieurement,
  • l’email émane du même organisme que celui qui a collecté la donnée, et son identité n’est pas dissimulée,
  • le destinataire se voit offrir la possibilité de s’opposer à la réception des emails au moment de la collecte des données et chaque fois qu’un courrier électronique de prospection lui est adressé (respect du droit d’opposition),
  • l’email contient des coordonnées valables auxquelles le destinataire peut transmettre une demande liée à ses données (pavé RGPD),
  • le champ « objet » de l’email est transparent, non-trompeur
Bookmark the permalink.

Comments are closed