Quatre critères cumulatifs sont nécessaires pour matérialiser la réalité du consentement de la personne concernée, qui sont les suivants :
Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
Spécifique : le consentement doit correspondre à un seul traitement, pour une finalité déterminée.
Éclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Les précisions pour chacun de ces critères sont les suivantes :
Libre : Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.
Spécifique : Pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
Éclairé : Au-delà des obligations liées à la transparence, le responsable du traitement doit fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :
l’identité du responsable du traitement.
les finalités poursuivies.
les catégories de données collectées.
l’existence d’un droit de retrait du consentement.
le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors de l’Union européenne.
Univoque : Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :
l’inaction comme l’absence de réponse à un courriel sollicitant le consentement.
les cases pré-cochées ou pré-activées
les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts.
La preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides. La charge de la preuve du consentement ne repose que sur lui.
Les responsable du traitement doit documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer :
1) la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat dans le consentement libre.
2) la séparation claire et intelligible des différentes finalités de traitement dans le consentement spécifique.
3) la bonne information des personnes dans le consentement éclairé.
4) le caractère positif de l’expression du choix de la personne dans le consentement univoque.