Il n’est plus question de supposer le consentement des internautes par des artifices juridiques, par un simple lien pointant vers une politique de vie privée ou par des cases d’acceptation pré-cochées par défaut. Toute entité qui procède à la collecte et au traitement de données personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus.

Attention, toutefois : le recueil du consentement des personnes n’est absolument pas nécessaire dans tous les cas de collecte de données à caractère personnel. Si le RGPD insiste sur la question du consentement, c’est essentiellement sur les modalités de recueil de celui-ci, qui sont précisées : libre, explicite, spécifique, informé.

Cette collecte de données peut reposer sur d’autres bases juridiques, comme l’exécution d’un contrat, l’intérêt légitime du responsable de traitement, le respect d’une obligation légale, etc. Le recueil du consentement est seulement une des bases possibles pour collecter des données personnelles de manière légale, mais pas la seule et surtout pas nécessairement la plus utilisée.

Par exemple, si le consentement « est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples », explique le RGPD.

Bien entendu, outre la nécessité de matérialiser l’adhésion en laissant à l’internaute le soin de cocher lui-même la case requise (« opt in »), le Règlement rappelle que cette acceptation peut être retirée à tout moment, sans qu’il ne soit besoin de donner la moindre justification. Le fait de retirer son accord n’affecte en aucune façon le traitement qui a été opéré pendant la période où il a été donné.