Preuve du consentement.
Les responsables du ou des traitements doivent être en mesure de démontrer, à tout moment, que les utilisateurs ont donné leur consentement. Pour ce faire, des mécanismes permettant de démontrer que le consentement des utilisateurs a été valablement recueilli doivent être mis en place.
Dans le cas où ces organismes ne collectent pas eux-mêmes le consentement des utilisateurs (notamment pour les traceurs dits « cookies tiers »), la Commission estime qu'une telle obligation ne saurait être remplie par la seule présence d'une clause contractuelle engageant l'une des parties à recueillir un consentement valable pour le compte de l'autre partie, dans la mesure où une telle clause ne permet pas de garantir, en toutes circonstances, l'existence d'un consentement valide. A cet égard, la Commission recommande qu'une telle clause soit complétée pour préciser que l'organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s'en prévaloir puisse en faire effectivement état.
S'agissant de la preuve de validité du consentement, la Commission recommande notamment les modalités suivantes, non exclusives :
- les différentes versions du code informatique utilisé par l'organisme recueillant le consentement peuvent être mises sous séquestre auprès d'un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;
- une capture d'écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l'application ;
- des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
- les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l'appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.