En général, vous ne pouvez pas baser le traitement de données à caractère personnel effectué dans un contexte professionnel sur le consentement de l’individu. Le consentement ne peut en effet pas être considéré comme libre et éclairé à cause du déséquilibre des pouvoirs entre l’Organisation et les individus.
Toutefois, pour toute activité nécessitant le consentement de l’individu, c’est-à-dire lorsqu’aucune autre base juridique ne peut justifier le traitement des données à caractère personnel, il faut respecter les points suivants:
- Le consentement ne doit pas être ambigu et doit être donné par une action affirmative claire. Un consentement explicite est dans tous les cas requis au CERN.
- Il est donc interdit d’utiliser des cases pré-cochées, l’individu doit cocher lui-même la case pour que le consentement soit considéré comme donné par un comportement actif.
- En cas de divers traitements poursuivant diverses finalités, il est nécessaire d’obtenir un consentement granulaire.
- Vous devez conserver des registres clairs afin de pouvoir démontrer le consentement.
- Il existe un droit spécifique de retirer son consentement. Vous devez informer les individus de leur droit de retirer leur consentement et leur offrir des moyens faciles afin qu’ils puissent exercer leur droit à tout moment.