Politique de gestion du consentement et des préférences

La Politique de gestion du consentement et des préférences définit les exigences obligatoires applicables à la détermination des cas où le consentement est requis, à la demande de consentement, à la collecte des éléments de preuve du consentement, à la gestion des préférences, au traitement des retraits, à la tenue des enregistrements de consentement et à la revue des mécanismes de consentement. Elle s’applique au traitement de données à caractère personnel lorsque le consentement est retenu ou requis comme base légale, lorsque le consentement explicite est requis, lorsque des préférences de consentement sont collectées, ou lorsque l’organisation gère des enregistrements de consentement pour le compte d’un responsable du traitement. La politique couvre les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, tout en précisant que les obligations des sous-traitants et des sous-traitants ultérieurs ne s’appliquent que lorsque des enregistrements de consentement, des états de préférences ou des instructions de retrait sont gérés conformément à des instructions documentées du responsable du traitement ou du client. Un principe central de la politique est que le consentement n’est pas la base légale par défaut du traitement de données à caractère personnel. Avant qu’une activité de traitement nouvelle ou substantiellement modifiée ne repose sur le consentement, le responsable de processus ou le propriétaire de l'entreprise doit enregistrer dans REG02 si le consentement est requis ou retenu, et le responsable de la protection des données ou le responsable du PIMS doit vérifier dans REG02 et REG05 que le consentement n’a pas été retenu par défaut. Lorsque le traitement porte sur des catégories particulières de données à caractère personnel, des services destinés aux enfants ou un traitement à haut risque, ou implique un déséquilibre entre l’organisation et la personne concernée, le délégué à la protection des données ou le conseiller en protection des données doit revoir la base du consentement dans REG04 avant le lancement. Pour les activités de responsable conjoint du traitement, la responsabilité relative à l’obtention, à l’enregistrement, au renouvellement et au respect du consentement doit être documentée avant le début du traitement. La politique fixe des exigences opérationnelles détaillées pour la demande et la collecte du consentement. Les demandes de consentement doivent être propres à chaque finalité et liées à la version applicable de la mention d’information REG07 avant leur présentation à une personne concernée. Les systèmes doivent exiger une action affirmative lorsque le consentement explicite ou le consentement par opt-in est requis, et doivent empêcher la poursuite d’un traitement reposant sur le consentement sauf si REG05 indique un statut du consentement actif pour la finalité concernée. REG05 doit collecter la référence de la personne concernée, la finalité, la catégorie de données à caractère personnel, le libellé ou la version du consentement, la version de la mention d’information, le canal de collecte, l’horodatage, la méthode, le statut et la période de validité applicable. Lorsque le consentement destiné aux enfants ou le consentement explicite s’applique, des exigences supplémentaires de logique, de marquage et de revue sont déclenchées. La gestion des préférences et des retraits est également encadrée au moyen de REG05 et, le cas échéant, de REG08. Un mécanisme de retrait ou de changement de préférences doit être disponible au plus tard au moment où le consentement est demandé. Les retraits et les changements de préférences doivent être enregistrés dans les cinq jours ouvrés suivant leur réception, ou dans un délai plus court défini pour l’activité de traitement. Les systèmes concernés, les états de suppression ou les indicateurs de préférences doivent être mis à jour avant toute poursuite du traitement pour une finalité retirée ou restreinte. Les sous-traitants doivent transmettre ou mettre en œuvre les instructions du client dans le délai défini par le client, et les sous-traitants ultérieurs doivent être vérifiés dans REG08 au regard des délais contractuels ou indiqués dans les instructions. La politique traite également de la gestion des changements, de la protection des enregistrements, de la gouvernance, de la mise en œuvre, des indicateurs, des exceptions, de la mise en application et de la maintenance. Le consentement doit être réévalué avant la poursuite du traitement lorsque la finalité, les catégories de données à caractère personnel, l’identité du responsable du traitement, le libellé de la mention d’information, la conservation, la catégorie de destinataires ou la méthode de traitement font l’objet d’une modification substantielle. Le libellé du consentement, la configuration du mécanisme, les références aux mentions d’information et les schémas d’enregistrements de consentement doivent être versionnés. Les enregistrements REG05 doivent être protégés contre toute modification non autorisée, et les éléments probants de la piste d’audit doivent être conservés. Les indicateurs comprennent des contrôles trimestriels du lien entre REG05, REG02 et REG07, une mesure mensuelle de l’achèvement des retraits lorsque le traitement fondé sur le consentement est actif, et des rapports d’audit dans REG12. Les exceptions doivent être approuvées avant la mise en œuvre, et les non-conformités portant sur des éléments de preuve du consentement manquants, invalides, non liés ou non fiables doivent être enregistrées dans les cinq jours ouvrés.