RGPD ET CONSENTEMENT

Pour évaluer efficacement tous les risques juridiques liés au rgpd, vous pouvez utiliser le service d'audit juridique de rgpd mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Mars 2024/

Autrefois régi par la directive 95/46/CE le droit européen des données personnelles a été renforcé par l’arrivée d’une nouvelle réglementation européenne entrée en vigueur le 25 mai 2018. Dans l’intention de s’adapter aux changements induits par l’explosion de l’informatique et d’Internet, cette nouvelle réglementation garantit que toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne sont soumises à la réglementation, indépendamment de leur localisation.

Pour protéger les données personnelles, les entreprises doivent respecter certains principes fondamentaux tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données ainsi que la sécurité des données. Le consentement est l’un de ces principes, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aiguiller les responsables de traitement lors du recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

En somme, toute entreprise qui traite les données personnelles des résidents de l’Union européenne doit comprendre les dispositions afférentes au consentement. Elle doit traiter les obligations liées à la nature même du consentement requis, les obligations relatives à sa valeur et les cas particuliers tels que le consentement du mineur.

Il importe donc, deux mois avant l’arrivée du RGPD, de prendre pleinement conscience de la portée des dispositions afférentes au consentement, en abordant successivement les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II).

I) Les conditions relatives à la nature du consentement requis

Le caractère libre et éclairé (A), autant que le caractère exprès du consentement (B), sont de ces critères ayant été approfondis par le nouveau texte européen.

A) L’obligation d’un consentement libre et éclairé

Le règlement général sur la protection des données caractérise le consentement, comme une «manifestation de volonté libre []». Tout en reprenant le terme, déjà employé au sein de la directive de 1995 et de la loi informatique et liberté, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe. Actuellement, l’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein de la directive de 1995 et de la loi informatique et liberté, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » (2).

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées «le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel». Dès lors quun traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

En outre, l’article 4 du RGPD fait part du caractère « éclairé et univoque » du consentement, quand la directive 95/46 parlait, elle, de « manifestation informée » (3).

Cette terminologie n’est certainement pas choisie au hasard. À l’heure où le numérique occupe une place prépondérante dans nos interactions sociales et professionnelles, il convient de distinguer précisément l’étendue et la portée du consentement accordé par les personnes sollicitées.

Le G29, dans ses lignes directrices concernant le grand texte européen à venir (4), précisait donc que « la personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents du traitement », afin notamment que le consentement soit fondé « sur l’appréciation et la compréhension des faits et des conséquences d’une action ».

Ce principe a été rappelé par la CNIL dans une décision du 21 janvier 2019, dans laquelle la CNIL prononce une sanction de 50 millions d’euros à l’encontre de Google. Dans cette décision la CNIL vient définir le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

En l’espèce il a été considéré que le consentement n’était pas univoque, car le consentement est recueilli par défaut, et donc, il faut une démarche active de l’utilisateur si ce dernier ne souhaite pas donner son consentement. De plus, la CNIL considère que le consentement n’était pas éclairé en l’espèce, car les informations concernant le traitement des données personnelles étaient « excessivement disséminées dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible ».

Cette affirmation renvoie donc, en plus du caractère éclairé du consentement, à son aspect explicite.

Besoin de l'aide d'un avocat pour le RGPD ?

Téléphonez - nous au : 01 43 37 75 63

ou contactez - nous en cliquant sur le lien_

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.L’article 4 du Règlement,  fait allusion au caractère « exprès » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité » (5).

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD nous apporte quelques précisions, ainsi «il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou dinactivité» (5).

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Pour cause de certitude, le G29 mentionnait l’idée d’un consentement recueilli « en deux temps », en guise de certification : un SMS, un Mail, un lien de vérifications sont autant de méthodes possibles dans la poursuite de cette finalité.

Néanmoins, cette pratique du « double opt-in » (6) est non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

La notion de consentement explicite fut l’objet d’une décision de la CJUE du 1er octobre 2019. Dans cette décision, la CJUE rappelle que le traitement des données personnelles doit être subordonné au recueil d’un consentement explicite, soit un consentement donné activement et expressément au site web par les utilisateurs.

Ainsi, la CJUE va considérer que le consentement recueilli n’était pas explicite quand il a été donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Dans cet arrêt, la CJUE précise également que le consentement doit être spécifique, ainsi elle considère que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel comme en l’espèce «  ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement explicite de la personne concernée est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II) Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » (7).

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement. C’est la position que le G29 semble adopter, encore que la nécessité du traitement en vertu des obligations contractuelles doive être interprétée de manière stricte.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. À première vue, on peut penser que le régime de celle-ci se doit d’être des plus détaillés ; cette idée n’est que partiellement accueillie par le texte.

C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats : la preuve devra donc être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») (8), qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL recommande au responsable de traitement de tenir à jour un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III.       Les cas particuliers

A)        Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est effectivement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B)        Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définies à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles. 

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontrées lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

  Pour lire cet article en une version plus adaptée au téléphone mobile, cliquez sur les mots RGDP et CONSENTEMENT

ARTICLES QUI POURRAIENT VOUS INTERESSER :

SOURCES :
(1) http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
(2) http://www.privacy-regulation.eu/fr/r43.htm
(3) https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information--gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
(4) https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
(5) http://www.privacy-regulation.eu/fr/r32.htm
(6) https://fr.mailjet.com/rgpd/consentement/
(7) http://www.privacy-regulation.eu/fr/7.htm
(8) https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
F. Mattatia « RGPD et droit des données personnelles », 5° édition - Edition EYROLLES – 2021
Comité Européen à la protection des données - Guide lignes directrices - 2020

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut