Les lois sur la protection de la vie privée donnent aux individus le droit d'accepter ou de refuser différentes activités de traitement des données. Connaître la différence entre chaque méthode et savoir quand l'utiliser permet de respecter la législation.
Vous trouverez ci-dessous une explication simple des différences entre les consentements "opt in" et "opt out" pour les entreprises qui collectent et utilisent les données personnelles des consommateurs.
Définir le consentement explicite et le consentement implicite
Pour commencer, examinons les définitions spécifiques des termes "opt in" et "opt out" dans le cadre de la conformité juridique des entreprises.
Signification de Opt In
Dans le contexte des lois sur la protection de la vie privée, on parle de consentement explicite lorsqu'une personne choisit d'accepter la collecte ou le traitement de données en prenant une mesure active.
Les entreprises avec lesquelles je travaille mettent en œuvre le consentement explicite en demandant aux visiteurs de leur site web de.. :
- Cochez une case non cochée pour indiquer que vous acceptez une politique, comme une politique de confidentialité ou des conditions générales d'utilisation.
- Cliquez sur le bouton "Accepter" lorsque vous vous inscrivez à des courriels de marketing ou à d'autres formes de publicité directe.
- Cliquez sur "Agree" sur une bannière pop-up de consentement aux cookies avant de placer des cookies sur le navigateur de l'utilisateur.
- Sélectionner "Accepter" à la fin d'une enquête pour montrer qu'ils acceptent que leurs réponses soient interprétées et publiées.
En vertu de plusieurs lois, l'utilisateur doit également être informé pour que le consentement soit considéré comme valide. C'est pourquoi les politiques en matière de confidentialité et de cookies ou les conditions générales d'utilisation sont généralement incluses lorsque le consentement est demandé.
Certaines lois sur la protection des consommateurs exigent également des options d'adhésion.
Par exemple, si vous souhaitez envoyer des SMS à des consommateurs aux États-Unis, vous devez respecter la loi sur la protection des consommateurs par téléphone (Telephone Consumer Protection Act - TCPA), qui exige un consentement préalable.
Je vois des entreprises demander cela à des consommateurs intéressés :
- Rédiger ou signer physiquement un document et le remettre physiquement pour s'inscrire à la réception d'appels téléphoniques, de SMS, de courriels ou d'autres formes de contact.
- Choisissez activement d'inclure un numéro de téléphone pour vous inscrire aux messages SMS.
Signification de l'opt-out
Le consentement négatif signifie qu'une personne a la possibilité de refuser le traitement des données et de s'en retirer, et qu'elle prend généralement des mesures en ce sens.
Je vois souvent des entreprises mettre en œuvre le consentement négatif en donnant à leurs utilisateurs la possibilité d'opter pour l'une ou l'autre option :
- Cliquer sur un lien "Ne pas vendre ou partager mes données personnelles" et exercer leur droit d'opposition à ce type de traitement de données.
- Mettre en place un mécanisme d'exclusion sur leur navigateur qui communique avec les bannières de consentement du site web pour exprimer leur désir de ne pas voir leurs données suivies.
- Sélectionnez "Refuser" sur une bannière de consentement aux cookies demandant si l'utilisateur est d'accord pour que des cookies inutiles soient placés sur son navigateur.
Les lois sur la protection de la vie privée exigent généralement des entreprises qu'elles informent les consommateurs de leur droit de refuser certains types de traitement de données et qu'elles leur indiquent la marche à suivre pour ce faire. Il est courant que ces informations soient exigées dans votre politique de protection de la vie privée.
Mais une fois de plus, je constate que le consentement négatif est demandé pour satisfaire à des lois telles que la TCPA et la législation anti-spam. Par exemple, les entreprises peuvent demander à leurs consommateurs de.. :
- Cliquez sur "Se désabonner" au bas d'un courriel pour ne plus le recevoir.
- Laissez une case à cocher vide lorsque vous soumettez un formulaire pour indiquer que vous ne souhaitez pas adhérer, vous inscrire, être inclus ou soumettre quelque chose.
Quand et comment utiliser le consentement explicite ?
Le consentement explicite est requis par des lois spécifiques et s'applique à des cas particuliers, que j'ai décrits en détail ci-dessous.
Lois exigeant le consentement explicite (Opt-In)
Voici une liste des lois sur la protection de la vie privée et des consommateurs qui exigent le consentement préalable, ainsi que quelques détails sur les obligations spécifiques décrites par la loi :
- Règlement général sur la protection des données (RGPD): En vertu du RGPD, le consentement d'un consommateur n'est considéré comme valable que s'il est librement donné, informé, actif et sans ambiguïté, ce qui signifie que l'opt-in est requis.
- California Consumer Privacy Act (CCPA) (loi californienne sur la protection de la vie privée des consommateurs): La plupart des consommateurs n'ont pas de droits explicites en matière d'opt-in en vertu de la CCPA, mais ils s'appliquent aux mineurs de moins de 16 ans ; si l'enfant a moins de 13 ans, le consentement à l'opt-in doit être donné par un tuteur légal.
- Loi sur la protection de la vie privée des enfants en ligne (COPPA) : La COPPA est une loi fédérale américaine qui exige que les entités obtiennent le consentement des tuteurs légaux des enfants avant toute collecte de données.
- La loi générale brésilienne sur la protection des données (LGPD): Fortement inspirée du RGPD, la seule forme de consentement valable en vertu de la LGPD est le consentement actif, avec option d'adhésion.
- La loi sud-africaine sur la protection de la vie privée (POPIA): Cette loi, qui s'inspire en partie du RGPD, exige également que les sites web obtiennent le consentement actif des consommateurs pour collecter leurs données.
- Loi sur la protection des consommateurs par téléphone (TCPA): Les exigences en matière de consentement préalable ne sont pas nouvelles. Promulguée en 1991, cette loi fédérale américaine impose aux entreprises d'obtenir le consentement des consommateurs avant de leur envoyer des appels téléphoniques non sollicités.
Si vous tombez sous le coup de ces lois, vous devez prévoir une ou plusieurs méthodes permettant aux consommateurs de donner activement leur consentement volontaire avant d'effectuer le traitement des données.
À quoi ressemble le consentement explicite ?
Parce que vous pouvez demander l'accord des utilisateurs à des fins diverses, j'ai trouvé quelques exemples différents dont vous pouvez vous inspirer.
Exemple de consentement explicite pour le respect de la législation sur la protection de la vie privée
Tout d'abord, voici un exemple de ce à quoi ressemble la demande de consentement des consommateurs pour l'utilisation de cookies conformément au RGPD , en utilisant la bannière de consentement aux cookies de Termly:
Il demande aux utilisateurs de cliquer activement sur le bouton "Accepter" pour exprimer leur consentement à l'utilisation de cookies et à la politique de cookies, comporte un lien direct vers la politique de cookies afin que les utilisateurs soient correctement informés, et conduit à un centre de préférences afin que les consommateurs puissent changer d'avis à tout moment.
Exemple de consentement pour l'inscription à une lettre d'information
Vous trouverez ci-dessous un exemple de la manière dont le journal The Guardian demande aux visiteurs de son site web de donner leur accord pour s'inscrire à sa lettre d'information.
Il demande aux utilisateurs intéressés d'exprimer leur accord pour recevoir les courriers électroniques en sélectionnant "S'inscrire", ce qui en fait un accord "opt-in".
Quand et comment utiliser le consentement négatif ?
Il y a plusieurs cas où votre entreprise peut être légalement obligée de fournir aux consommateurs une option de refus sur votre site web.
Lois sur la protection des données qui exigent des options de retrait
Voici une liste de lois sur la protection de la vie privée qui énoncent des exigences en matière d'opt-out, ainsi que des détails sur les attentes spécifiques :
- Règlement général sur la protection des données (RGPD): Les consommateurs ont le droit de refuser le traitement des données en vertu de cette loi, et il doit être aussi facile pour eux de retirer leur consentement que de le donner.
- La loi californienne sur la protection de la vie privée des consommateurs (CCPA) : La CCPA donne explicitement aux consommateurs le droit de refuser la publicité ciblée, la vente ou le partage de leurs données et le profilage. L'une des exigences de la loi est d'afficher un lien "Ne pas vendre ou partager mes informations personnelles" dans le pied de page de votre site.
- Loi sur le contrôle de l'assaut de la pornographie et du marketing non sollicités (CAN-SPAM): Cette loi fédérale américaine exige que tous les courriels de marketing comportent une option de désabonnement et que cette demande soit honorée.
- Toutes les lois actuelles sur la protection de la vie privée au niveau des États américains: Plusieurs États américains ont adopté ou proposé des lois complètes sur la protection de la vie privée, dont beaucoup accordent aux consommateurs des droits de retrait (par exemple, publicité ciblée, vente de données). Toutefois, la portée et la date d'entrée en vigueur de ces lois varient. Il convient donc de vérifier quelles sont les lois de l'État qui s'appliquent à votre organisation afin de déterminer les exigences spécifiques en matière d'opt-out
- Loi sur la protection de la vie privée des enfants en ligne (COPPA): En vertu de la COPPA, les tuteurs légaux doivent fournir un consentement vérifiable avant la collecte de données auprès d'enfants de moins de 13 ans. Après avoir donné leur consentement, les parents conservent le droit d'examiner, de supprimer ou d'interrompre l'utilisation des données de leur enfant.
- Loi australienne sur la protection de la vie privée: Comme d'autres lois sur la protection de la vie privée, les Australiens ont le droit de refuser la publicité ciblée.
- La loi générale brésilienne sur la protection des données (LGPD) : Comme le RGPD, les consommateurs ont le droit de refuser le traitement des données à tout moment et pour n'importe quelle raison.
- Loi néo-zélandaise sur la protection de la vie privée: Basée sur la loi australienne sur la protection de la vie privée, cette loi donne également aux consommateurs le droit de se retirer de la publicité ciblée.
- La loi sud-africaine sur la protection de la vie privée (POPIA) : Il s'agit d'une autre loi sur la protection de la vie privée qui donne aux consommateurs le droit de refuser la publicité ciblée et de retirer leur consentement au traitement des données à tout moment.
Certaines de ces lois devraient vous être familières, car elles prévoient également des exigences en matière de consentement préalable, notamment le RGPD, le LGPD et la POPIA.
La plupart de ces droits de retrait comprennent le droit pour les consommateurs de se retirer de la publicité ciblée et de la vente (ou du partage) de leurs données personnelles.
Les sites web déploient des cookies Internet sur les navigateurs des utilisateurs à ces fins, ce qui soumet l'utilisation des cookies et autres traceurs à ces exigences légales. C'est pourquoi la plupart des sites web ont des bannières de cookies avec des boutons "Accepter", "Refuser" et "Préférence".
Si votre site web tombe sous le coup de ces lois, vous devez fournir une ou plusieurs méthodes permettant aux consommateurs de se prévaloir facilement de ces droits de retrait.
À quoi ressemble le consentement à l'exclusion ?
Étant donné qu'il existe différentes situations dans lesquelles vous pouvez utiliser le consentement négatif, je vous propose ci-dessous quelques exemples pertinents.
Exemple de refus pour la confidentialité des données
Le premier exemple de consentement négatif se trouve sur une page d'inscription, où l'utilisateur saisit ses données personnelles pour créer un compte.
Dans ce scénario, les cases à cocher sont déjà pré-cochées, ce qui signifie que l'utilisateur doit les décocher activement pour se désengager lors de la création de son compte.
Exemple de lien d'exclusion de l'ACCP
La capture d'écran suivante est un exemple de lien d'exclusion que les utilisateurs peuvent trouver au bas du site web de Termlyet qui est conforme aux exigences d'exclusion de la CCPA.
En cliquant sur ce lien, les utilisateurs accèdent à un formulaire qui leur permet de faire valoir leurs droits en vertu de la loi sur la protection des données, notamment en refusant la publicité ciblée et la vente ou le partage de leurs informations.
Exemple de refus d'inscription à une lettre d'information électronique
Ensuite, j'ai donné un exemple de lien de désinscription au bas d'un courriel de marketing de la boutique de commerce électronique Litographs.
L'ajout d'un lien d'exclusion au bas des courriels de marketing de cette manière est exigé par des lois telles que CAN-SPAM.
Comment Termly aide à respecter les exigences en matière de consentement (Opt-In et Opt-Out)
La gestion du consentement des consommateurs est un processus en plusieurs étapes qui peut s'avérer techniquement difficile et long à gérer de manière indépendante.
Termly's plateforme de gestion du consentement permet aux entreprises de répondre facilement aux exigences en matière de consentement et d'exclusion.
La bannière de consentement est facile à utiliser et personnalisable, vous permettant de fournir des options d'acceptation ou de refus aux visiteurs de votre site web ou de votre application, et des paramètres de consentement régionaux sont disponibles. Pour vous aider pleinement à respecter les exigences des lois sur la protection de la vie privée, elle permet également à vos utilisateurs d'accéder à un centre de préférences de consentement afin qu'ils puissent changer d'avis à tout moment.
Vous pouvez programmer des analyses du site pour détecter, classer et nommer les cookies qu'il utilise. Il élabore ensuite pour vous une politique de cookies , que vous pouvez présenter aux utilisateurs pour vous assurer qu'ils sont correctement informés.
Il vous offre également un formulaire de demande d'accès aux données par la personne concernée (DSAR), que vous pouvez intégrer à votre site web. Vos utilisateurs peuvent l'utiliser pour soumettre des demandes de respect de leurs droits en matière de protection de la vie privée, et vous pouvez les recevoir et y répondre plus efficacement.
Résumé
En raison des lois sur la confidentialité des données, des lois sur la protection des consommateurs et des exigences des plateformes tierces, la plupart des sites web doivent utiliser des mécanismes de consentement avec ou sans option.
Le consentement explicite est particulièrement important si le consentement est votre base juridique et que vous êtes tenu de respecter le RGPD.
Le consentement négatif est nécessaire si vous relevez de la législation sur la protection de la vie privée qui vous oblige à donner aux utilisateurs la possibilité de refuser la publicité ciblée et le partage ou la vente de leurs données.
Des ressources telles que le CMP de Termly facilitent la gestion des préférences de consentement de vos utilisateurs, qu'il s'agisse de l'opt-in ou de l'opt-out.
En savoir plus sur l'auteur
Écrit par Natasha Piirainen
Natasha est une spécialiste du contenu avec plus de 10 ans d'expérienceprofessionnelle dans le développement de contenubasé sur la recherche. Elle est diplômée du Wheaton College en anglais et en philosophie. Chez Termly, ellese concentre sur les meilleures pratiques en matière de confidentialité des données et de gestion des consentements . Elleest responsable de la maintenance et de la mise à jour desdocuments relatifs à la confidentialité des données .
En savoir plus sur l'auteur
Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial
