RGPD ET CONSENTEMENT

Pour évaluer efficacement tous les risques juridiques liés au rgpd, vous pouvez utiliser le service d'audit juridique de rgpd mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Mai 2021 /

Depuis le 25 mai 2018  tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

En effet, le législateur a pu considérer que, compte tenu de l’importance grandissante des interactions numériques entre les personnes, la gestion des données en découlant devait être encadrée précisément, et que la question du consentement constitue effectivement le « cœur névralgique » de ce contrôle : « le consentement fait figure d’élément-clé de la conformité des traitements mis en œuvre puisqu’il s’agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement portant sur leurs données » (1).

Il importe donc, deux mois avant l’arrivée du RGPD, de prendre pleinement conscience de la portée des dispositions afférentes au consentement, en abordant successivement les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II).

 

I) Les conditions relatives à la nature du consentement requis

Le caractère libre et éclairé (A), autant que le caractère express du consentement (B), sont de ces critères ayant été approfondis par le nouveau texte européen.

A) L’obligation d’un consentement libre et éclairé

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein de la directive de 1995 et de la loi informatique et liberté, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » (2).

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

En outre, l’article 4 du RGPD fait part du caractère « éclairé et univoque » du consentement, quand la directive 95/46 parlait, elle, de « manifestation informée » (3).

Cette terminologie n’est certainement pas choisie au hasard. À l’heure où le numérique occupe une place prépondérante dans nos interactions sociales et professionnelles, il convient de distinguer précisément l’étendue et la portée du consentement accordé par les personnes sollicitées.

Le G29, dans ses lignes directrices concernant le grand texte européen à venir (4), précisait donc que « la personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents du traitement », afin notamment que le consentement soit fondé « sur l’appréciation et la compréhension des faits et des conséquences d’une action ».

Ce principe a été rappelé par la CNIL dans une décision du 21 janvier 2019, dans laquelle la CNIL prononce une sanction de 50 millions d’euros à l’encontre de Google. Dans cette décision la CNIL vient définir le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

En l’espèce il a été considéré que le consentement n’était pas univoque, car le consentement est recueilli par défaut, et donc, il faut une démarche active de l’utilisateur si ce dernier ne souhaite pas donner son consentement. De plus, la CNIL considère que le consentement n’était pas éclairé en l’espèce, car les informations concernant le traitement des données personnelles étaient « excessivement disséminées dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible ».

Cette affirmation renvoie donc, en plus du caractère éclairé du consentement, à son aspect explicite.

Besoin de l'aide d'un avocat pour le RGPD ?

Téléphonez - nous au : 01 43 37 75 63

ou contactez - nous en cliquant sur le lien_

 

B) L’obligation d’un consentement explicite

L’article 4 du Règlement,  fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité » (5).

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Pour cause de certitude, le G29 mentionnait l’idée d’un consentement recueilli « en deux temps », en guise de certification : un SMS, un Mail, un lien de vérifications sont autant de méthodes possibles dans la poursuite de cette finalité.

Néanmoins, cette pratique du « double opt-in » (6) est non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

La notion de consentement explicite fut l’objet d’une décision de la CJUE du 1er octobre 2019. Dans cette décision, la CJUE rappelle que le traitement des données personnelles doit être subordonné au recueil d’un consentement explicite, soit un consentement donné activement et expressément au site web par les utilisateurs.

Ainsi, la CJUE va considérer que le consentement recueilli n’était pas explicite quand il a été donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Dans cet arrêt, la CJUE précise également que le consentement doit être spécifique, ainsi elle considère que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel comme en l’espèce «  ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies. »

II) Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est déterminé librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » (7).

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement. C’est la position que le G29 semble adopter, encore que la nécessité du traitement en vertu des obligations contractuelles doive être interprétée de manière stricte.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. À première vue, on peut penser que le régime de celle-ci se doit d’être des plus détaillés ; cette idée n’est que partiellement accueillie par le texte.

C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats : la preuve devra donc être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») (8), qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

Pour lire cet article en une version plus adaptée au téléphone mobile, cliquez sur les mots RGDP et CONSENTEMENT

ARTICLES QUI POURRAIENT VOUS INTERESSER :

SOURCES :
(1) http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
(2) http://www.privacy-regulation.eu/fr/r43.htm
(3) https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information--gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
(4) https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
(5) http://www.privacy-regulation.eu/fr/r32.htm
(6) https://fr.mailjet.com/rgpd/consentement/
(7) http://www.privacy-regulation.eu/fr/7.htm
(8) https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut