Le piège classique
Le considérant 171 est souvent oublie, mais il porté un risque silencieux : la validité des consentements collectes sous la directive 95/46/CE. Beaucoup d'organisations ont migre vers le RGPD en 2018 en supposant que tous leurs consentements anciens etaient valides, sans vérifier qu'ils respectaient les conditions renforcees du RGPD (libre, spécifique, eclaire, univoque, démontrable). La CNPD et la CNIL sanctionnent régulièrement les bases de prospection ou de newsletter qui s'appuient sur des consentements pre-2018 obtenus via cases pre-cochees, formulations groupees ou absence de tracabilite. L'EDPB a confirme dans ses lignes directrices 05/2020 que tout consentement non conforme aux critères de l'article 7 RGPD doit être recollecte.
Le test de validité retroactive d'un consentement
Pour qu'un consentement pre-RGPD reste valide aujourd'hui, il doit cumulativement remplir les conditions suivantes :
- Action positive de la personne (pas de case pre-cochee, pas de consentement implicite par inaction)
- Consentement spécifique a chaque finalité (pas de consentement global type acceptation des CGU)
- Information préalable claire sur l'identité du responsable et les finalités
- Preuve conservee : date, version du formulaire, libelle exact, IP ou identifiant technique
- Possibilite de retrait aussi simple que le consentement initial
- Pas de desequilibre manifeste (employeur, autorité publique)
Concernant les décisions d'adéquation de la Commission et les autorisations des autorités de contrôle anterieures a 2018, elles restent en vigueur jusqu'à modification. C'est ce mécanisme qui a maintenu certaines décisions comme celle relative au Canada ou a la Suisse, mais c'est aussi ce qui a fait tomber le Privacy Shield via Schrems II en 2020. Toute organisation s'appuyant sur une ancienne décision doit vérifier qu'elle est toujours active.
Comment Luxgap automatise ce risque
Notre Luxgap Consent Legacy Auditor elimine la zone grise des consentements heritages en realisant un audit retroactif complet de votre base de consentements, croisant chaque enregistrement avec les critères renforces du RGPD pour identifier ceux qui doivent être recollectes avant qu'une autorité de contrôle ne le decouvre lors d'un audit. L'outil se connecte directement a votre CRM (Salesforce, HubSpot, Odoo), votre plateforme emailing (Mailchimp, Brevo, ActiveCampaign) et vos formulaires web pour reconstituer la tracabilite reelle de chaque consentement, et non celle declaree.
- Detecte automatiquement chaque consentement dont la date de collecte est anterieure au 25 mai 2018 et evalue sa conformité aux six critères de l'article 7 RGPD.
- Classifie chaque enregistrement en feu vert (valide), feu orange (a documenter) ou feu rouge (a recollecter immediatement) avec justification juridique opposable.
- Genere les campagnes de recollecte ciblees avec libelles conformes aux lignes directrices EDPB 05/2020, prets a être injectes dans votre outil emailing.
- Vérifié la validité actuelle des décisions d'adéquation et autorisations anterieures encore citees dans vos registres de traitements et vos politiques de confidentialité.
- Produit un rapport PDF horodate opposable a la CNPD demontrant que vous avez audite et purifie votre patrimoine de consentements heritages.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre base de consentements reelle, avec un audit blanc gratuit sous 48h pour mesurer le pourcentage de consentements a risque avant tout engagement.
