4.18 Les éléments du consentement

Encadré 4.18 Les éléments du consentement

Le consentement requiert certains éléments spécifiques : pour être valable, le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernanta .

n Un consentement donné librement implique non seulement qu’il est donné volontairement, mais qu’il s’agit d’un véritable choix fait par l’individu.

En tant que telle, toute pression ou influence inappropriée susceptible d’affecter le résultat de ce choix rend le consentement invalide. Cette norme est la même que celle utilisée dans la communauté médicale, en tenant compte des déséquilibres de pouvoir entre le collecteur et le contrôleur des données et l’individu. Il convient de noter que l’exécution d’un contrat ne peut être conditionnée par le consentement à traiter d’autres données à caractère personnel qui ne sont pas nécessaires à l’exécution du contrat. n Le consentement spécifique vise à limiter le

«détournement de fonction», ce qui signifie que toutes les activités et tous les traitements à effectuer doivent être identifiés; et lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles.

De même, si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise. n Informé signifie que la personne a été informée au moins (1) de l’identité du responsable du traitement, (2) de la nature des données à traiter et (3) de la ou des finalités du traitement des données. n Le consentement sans ambiguïté signifie que l’acte de consentement doit être clairement positif et qu’il doit être donné sous la forme d’une déclaration active de consentement (par exemple, une déclaration, une case à cocher sur le site web, un choix de paramètres techniques ou un comportement clair et contextualisé). Le consentement peut être retiré à tout moment, et avec la même facilité qu’il a été donné.

a. Voir Art. 7 et Considérant 32 du Règlement général sur la protection des données de l’Union européenne (RGPD).

les accords de partage des données doivent être clairs quant à l’utilisation convenue et spécifique des informations à partager, aux types exacts d’informations à partager (par exemple, variables spécifiques, durée), à la spécification des principes et des garanties de confidentialité et de sécurité, à la définition précise des utilisateurs spécifiques et de leurs niveaux d’accès, etc.

Un principe fondamental régissant ces accords est que les registres sociaux doivent partager avec les programmes utilisateurs légitimes uniquement les informations spécifiques nécessaires aux fins convenues, afin de protéger la sécurité et la confidentialité des informations (c’est-à-dire juste l’ensemble minimal convenu de variables nécessaires aux programmes utilisateurs pour prendre leurs décisions). Ainsi, dans la mesure du possible, la mise à disposition des données d’un registre ne doit pas se faire de manière globale, mais de façon sélective en ne mettant à disposition d’un programme que les seules données nécessaires à son activité en cours. À cet égard, l’Estonie constitue un excellent exemple. Outre la garantie d’une utilisation appropriée et autorisée des données personnelles, les protocoles d’accord doivent assurer une bonne gouvernance des données, tant au niveau de leur traitement que de leur protection et leur sécurisation.

Les bonnes pratiques internationales adoptent une vision intégrative, fondée sur le cycle de vie de la protection et de la confidentialité des données. On notera en particulier l’approche « privacy-by-design » (PbD)