Modèle d'auditBase légale : vérification des conditions du consentement
RGPD
Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.
Cet audit permet de vérifier si la base légale se fondant sur le consentement est justifiée ou non.
Source : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fr.pdf
1. Éléments d'un consentement valable
1. Manifestation de volonté libre
1.1. 1.1.1. Les personnes concernées sont-elles en mesure d'exercer un choix et un contrôle réel ?
1.2. 1.1.2. La personne concernée a-t-elle subi une pression ou influence inappropriée afin d'autoriser la collecte et le traitement de ses données ?
1.3. 1.1.3. L'organisation est-elle une autorité publique ?
1.4. 1.1.3.1. Avez-vous précisé aux personnes concernées que le transfert de leurs données n'est pas obligatoire, et qu'ils ont une simple faculté de donner leur consentement ?
1.5. 1.1.4. Les personnes concernées sont-elles vos salariés ?
1.6. 1.1.4.1. Le refus de donner leur consentement entraîne-t-il des conséquences négatives (sanctions, licenciement...) ?
1.7. 1.1.5. Le consentement est-il couplé à l’acceptation de conditions générales ?
1.8. 1.1.6. Le consentement est-il subordonné à la fourniture d’un contrat ou d’un service à une demande de consentement au traitement de données à caractère personnel ?
En cas de réponse négative, que le traitement soit nécessaire ou non à l'exécution dudit contrat, le consentement n'est pas la base légale appropriée.
1.9. 1.1.7. Les personnes concernées peuvent-elles donner un consentement distinct aux différentes opérations de traitement de leurs données ?
1.10. 1.1.8. Est-il est possible de refuser ou de retirer son consentement sans subir de préjudice ?
1.11. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
2. Spécifique
2.1. 1.2.1. Le consentement de la personne concernée est-il donné en lien avec « une ou plusieurs finalités spécifiques » ?
2.2. 1.2.2. Le responsable du traitement prévoit-il un consentement distinct pour chaque finalité afin que les utilisateurs puissent donner un consentement spécifique à des finalités spécifiques ?
2.3. 1.2.3. La personne concernée a-t-elle un choix concernant chacune de ces finalités ?
2.4. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
3. Éclairée
3.1. 1.3.1. La personne concernée est-elle informée de l’identité du/des responsable(s) du traitement ?
3.2. 1.3.2. La personne concernée est-elle informée de la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité ?
3.3. 1.3.3. La personne concernée est-elle informée des (types de) données collectées et utilisées ?
3.4. 1.3.4. La personne concernée est-elle informée de l’existence du droit de retirer son consentement ?
3.5. 1.3.5. La personne concernée est-elle informée des informations concernant l’utilisation des données pour la prise de décision automatisée le cas échéant ?
3.6. 1.3.6. La personne concernée est-elle informée des informations sur les risques éventuels liés à la transmission des données en raison de l’absence de décision d’adéquation et de garanties appropriées ?
3.7. 1.3.7. Le responsable du traitement a-t-il fourni une liste complète des destinataires ou des catégories de destinataires, y compris des sous-traitants ?
3.8. 1.3.8. Le consentement est-il sollicité dans des termes clairs et simples ?
3.9. 1.3.9. Le consentement est-il présenté sous une forme compréhensible et aisément accessible ?
3.10. 1.3.10. La demande de consentement est-elle présentée sous une forme qui la distingue clairement des autres questions ?
3.11. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
4. Univoque
4.1. 1.4.1. La personne concernée a-t-elle posé un acte délibéré afin de donner son consentement au traitement spécifique ?
4.2. 1.4.2. Le responsable du traitement a-t-il recours à des cases cochées par défaut ?
4.3. 1.4.3. Le responsable du traitement se base-t-il sur le silence ou l’inactivité de la personne concernée, ou le simple fait qu’elle continue à utiliser un service ?
4.4. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
2. Obtention d’un consentement explicite
2.1. 2.1. Dans les situations évoquées, la personne concernée a-t-elle formulé une déclaration de consentement exprès ?
2.2. 2.2. Le cas échéant, la personne concernée a-t-elle signé une déclaration écrite ?
2.3. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
3. Conditions supplémentaires d’obtention d’un consentement valable
3.1. 3.1. Le consentement est-il obtenu avant que le responsable du traitement ne commence à traiter les données à caractère personnel pour lesquelles un consentement est nécessaire ?
3.2. 3.2. Le consentement est-il renouvelé en cas d'évolution ou de modification du traitement ?
3.3. 3.3. La personne concernée peut-elle donner et retirer son consentement moyennant la même action ?
3.4. 3.4. La personne concernée est-elle en mesure de retirer son consentement sans subir de préjudice ?
3.5. 3.5. Les personnes concernées sont-elles informées de la façon dont elles peuvent exercer leurs droits ?
3.6. 3.6. La personne concernée est-elle notifiée de toute modification de la base juridique du traitement ?
3.7. 3.7. La personne concernée a-t-elle plus de 16 ans ?
3.8. 3.7.1. Le cas échéant, le consentement est-il donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant de plus de 13 ans ?
3.9. La base légale n'est pas valable. Vérifiez les traitements où la base légale est fondée sur le consentement.
Créé le:10/06/2023
Mis à jour le :30/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :3