A environs deux mois d’entrée en vigueur du Nouveau Règlement Général sur la Protection des Données (RGPD), un des sujets préoccupant le plus les entreprises sont les nouvelles règles sur l’obtention du consentement de l’intéressé. Les obligations pour obtenir ce consentement se durcissent, étant donné que les consentements tacites ne sont plus permis ni les cases cochées d’avance, à partir du 25 mai 2018, il est obligatoire de recueillir le consentement clair de l’intéressé.
Conformément aux dispositions de ladite règlementation et des conclusions du groupe de travail sur l’ article 29 , il y a deux types de consentements, le normal et l’explicite pour les données qui requièrent une protection spécifique.
Pour le consentement normal, il est admis d’utiliser des systèmes simples à mettre en place comme le click-wrap, bouton d’acceptation ou, en général, n’importe quelle action affirmative qui s’interprète par une validation (par exemple, dérouler l’écran, saluer une caméra intelligente, tourner le téléphone de manière intelligente dans le sens des aiguilles d’une montre, etc.) Quant au consentement explicite, il requière une action plus spécifique comme la signature d’un document pour le valider, précisant qu’il doit accepter, évidemment, les systèmes basés sur la signature électronique (en mettant en avant les bénéfices de la signature électronique avancée).
Nonobstant ce qui précède, en ce qui concernent les deux types de consentements, l’article 7 (1) de la RGPD établit l’obligation au responsable de démontrer le consentement de l’intéressé, . Ce qui incombe la responsabilité, en cas de controverse, sur le responsable de traitement, cette obligation se renforce d’avantage en considérant le 42: « Lorsque le traitement aboutit au consentement de l’intéressé, le responsable du traitement soit être capable de démontrer que celui-ci a donné son consentement lors de l’opération de traitement. En particulier dans le contexte d’une déclaration par écrite effectuée sur un autre sujet, il doit y avoir des garanties que l’intéressé est conscient qu’il a donné son consentement et de la manière qu’il l’a donné« .
LLes responsables de traitement sont libres d’implémenter les méthodes estimées adéquates pour remplir leurs obligations, cependant il faut prendre en compte non seulement le facteur de simplicité d’implémentation mais aussi la capacité probatoire des moyens implémentés, car bien que la RGPD n’établit pas le moyen de démontrer ce consentement, le responsable devra se fournit de ces outils lui permettant de justifier de garanties maximales en cas de litige et qui génèrent des preuves durables puis que l’obligation de démontrer le consentement de l’intéressé s(étend durant tout le temps du traitement de l’information.
DD’un point de vue pratique, le responsable devra maintenir un registre de toutes les déclarations de consentements reçus qui lui permettra de prouver comment et quand le consentement s’est obtenu ainsi que l’information fournie à l’intéressé.
A Validated ID , nous proposons toutes les options possibles pour permettre la signature du consentement de l’intéressé, allant de la signature biométrique manuscrite pour les situations présentielles, aux solutions de signature à distance recueillant toutes les preuves nécessaires qui permettent de démontrer l’obtention effective du consentement; évitant ainsi les sanctions pour irrespect mentionnées dans la RGPD pouvant atteindre jusqu’à 20.000.000€ o ou 4% du chiffre d’affaires de l’entreprise.
Pour les scénarios présentiels, il est démontré que la signature biométrique est le meilleur moyen pour recueillir ce consentement. De nos jours, des centaines d’entités de santé en Espagne et cinquantaine d’administrations publiques utilisent déjà VIDsigner Bio dans leur processus de relations présentielles avec leurs patients et citoyens.
Pour des scénarios de signature à distance, aussi bien VIDsigner Remote, que VIDsigner Centralized ou VIDsigner DNIe permettent de recueillir les preuves du consentement clairde l’intéressé.
En conclusion, il est important de se rappeler que tous les produits et services de signature électronique ne se valent et que, en cas de litige, toutes les options ne bénéficient de la qualité et quantité de preuves nécessaires permettant d’affronter le processus d’obtention du consentement en toute tranquillité.