L’article 4 du RGPD défini le consentement de la personne concernée comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
En général, le consentement ne constituera une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Étant précisé que le consentement doit être recueilli avant que le responsable de traitement ne commence à traiter la donnée.
Le consentement s’imposera en tant que base légale pour certains traitements tels que :
Le traitement de données sensibles ;
Les traitements à des fins de prospection (sauf si la personne concernée est déjà cliente du responsable de traitement et que la prospection a pour objet des produits ou services analogues à ceux pour lesquels la personne concernée est déjà engagée auprès du responsable de traitement) ;
Lorsqu’aucune des 5 autres bases légales de l’article 6 du RGPD ne sera applicable (Les autres bases légales étant l’exécution d’un contrat ou de mesures précontractuelles, le respect d’une obligation légale par le responsable de traitement, la sauvegarde des intérêts vitaux de la personne concernée, l’exécution d’une mission d’intérêt public, les intérêts légitimes poursuivis par le responsable de traitement ou un tiers.)
Un consentement valable implique une manifestation de volonté libre (I), spécifique (II), éclairée (III) et univoque (IV). Par ailleurs, le responsable de traitement doit conserver la preuve du consentement en cas de contrôle (V). Enfin, il convient de noter que le traitement des données sensibles répond au recueil d’un consentement particulier (VI).
I. Une manifestation de volonté libre.
L’adjectif « libre » suppose un choix et un contrôle réel pour les personnes concernées.
La personne ne doit pas se sentir contrainte de consentir et son consentement ne doit pas être conditionné à l’octroi d’un avantage. Par ailleurs, le consentement ne sera pas considéré comme étant donné librement si la personne concernée n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice (par exemple, conditionner le téléchargement d’une application de jeux à l’activation de la localisation GPS de l’utilisateur).
Par ailleurs, toute pression ou influence inappropriée et exercée sur la personne concernée rendra le consentement non valable. Le RGPD prend en compte la notion de déséquilibre dans les rapports de force entre le responsable de traitement et la personne concernée pour évaluer la légalité du consentement. Par exemple, dans les relations employeur/salarié il existe un réel lien de dépendance et de subordination de l’employé vis-à-vis de son employeur. C’est pour cette raison que le G29 ne préconise pas que de tels traitements de données soient basés sur le consentement, sans quoi ce dernier ne serait pas libre. Ainsi selon, le G29, pour la majorité des traitements de données au travail, la base juridique ne peut et ne devrait pas être le consentement des employés en raison de la nature de la relation employeur/employé (la base légale des traitements de données RH sera, la plupart du temps, l’exécution du contrat de travail).
L’article 7 § 4 du RGPD précise qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».
Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.
La liberté du consentement signifie également qu’il puisse être retiré ou que l’on puisse refuser de le donner. Par conséquent, le retrait du consentement ou le refus de le donner ne doit pas être préjudiciable à la personne concernée. Par exemple, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée. Autre exemple, le fait de refuser de donner son consentement ne doit pas avoir pour conséquence de fournir à la personne concernée un service amoindri.
II. Un consentement spécifique.
Le consentement doit être recueilli finalité par finalité et non pas pour un ensemble de finalités.
Selon le G29, afin de se conformer au caractère « spécifique » du consentement, le responsable du traitement doit garantir :
1. la spécification des finalités en tant que garantie contre tout détournement d’usage,
2. le caractère détaillé des demandes de consentement, et
3. la séparation claire des informations liées à l’obtention du consentement au traitement des données et des informations concernant d’autres sujets.
Le caractère « spécifique » du consentement apparaît comme intrinsèquement lié à la notion de liberté du consentement.
Dire que le consentement doit être spécifique à la finalité induit que si le responsable de traitement souhaite traiter les données pour une autre finalité, il doit solliciter un consentement complémentaire pour cette autre finalité à moins qu’une autre base juridique s’applique. Exemple : le consentement aux CGV n’emporte pas nécessairement consentement à tous les traitements.
Enfin, chacune des demandes de consentement distinctes doit être accompagnée des informations spécifiques concernant les données traitées pour chaque finalité afin que les personnes concernées soient conscientes de l’incidence de leur choix.
III. Un consentement éclairé.
A. La nécessité de fournir une information détaillée.
Le consentement éclairé est étroitement lié aux principes de transparence et de loyauté du traitement.
Pour s’assurer que la personne concernée fournisse un consentement éclairé, il convient que le responsable de traitement fournisse a minima les informations visées à l’article 13 §1 du RGPD, à savoir :
L’identité du responsable de traitement ;
Le cas échéant les coordonnées du délégué à la protection des données ;
La ou les finalités du traitement ainsi que la base juridique ;
Les destinataires ou catégorie(s) de destinataires des données ;
Les éventuels transferts de données hors EEE.
Il convient également qu’il fournisse à la personne concernée au moment où les données sont obtenues les informations complémentaires suivantes :
les durées de conservation ;
la possibilité de demander l’accès, la rectification, l’effacement des données ou encore la limitation du traitement ;
le droit de retirer son consentement ;
le droit d’introduire une réclamation auprès de l’autorité de contrôle ;
si la personne concernée est tenue de fournir les informations demandées et les éventuelles conséquences de son refus ;
l’existence d’une prise de décision automatisée y compris le profilage.
Étant précisé que le G29 préconise que si le consentement sollicité sert de base de traitement à plusieurs responsables (conjoints) du traitement, ou si les données sont transférées ou traitées par d’autres responsables de traitement souhaitant se fonder sur le consentement original, tous ces responsables doivent être nommément désignés dans les informations données aux personnes concernées.
Concernant les sous-traitants, le G29 estime que ces derniers ne doivent pas impérativement être nommés en vertu des exigences en matière de consentement, bien que pour se conformer aux articles 13 et 14 du RGPD, les responsables du traitement doivent fournir, a minima, une liste complète des catégories de destinataires, y compris des sous-traitants.
B. Des bonnes manières de fournir cette information.
Le RGPD ne précise pas comment cette information doit être fournie. Néanmoins, et conformément à l’exigence de clarté du consentement, cette information doit être donnée dans des termes simples et clairs. Le message donné doit être compréhensible par tous.
Cela induit que le responsable de traitement soit à même de s’adapter au public concerné. Par exemple, si le public cible comprend des mineurs, le responsable de traitement devra s’attacher à donner une information qui soit également compréhensible par ces derniers.
A cet égard, et afin de ne pas noyer la personne concernée dans toutes les informations qu’il convient de lui transmettre, le G29 admet qu’il soit possible de ne fournir à la personne concernée que les informations de l’article 13 §1 du RGPD et de renvoyer à une politique de données ou tout autre document similaire pour la fourniture des autres mentions d’informations obligatoires.
IV. Un consentement univoque.
Le consentement doit être donné par un acte positif clair qui se distingue de tous les autres actes. Cela signifie qu’il ne doit exister aucune ambigüité sur la teneur et l’étendue du consentement. Le G29 prévoit que cet acte puisse se matérialiser par un courrier électronique ou une lettre. Il peut également s’agir d’une déclaration orale.
La CNIL prévoit pour sa part que le consentement puisse être donné via une case à cocher.
Etant précisé que le silence ou l’inactivité de la personne concernée, ainsi que le simple fait qu’elle continue à utiliser un service, ne peuvent être considérés comme une indication active de choix (d’où l’interdiction de « l’opt out »).
V. La preuve du consentement.
L’article 7§1 du RGPD prévoit explicitement que « le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel le concernant ».
Cela signifie que le responsable de traitement doit conserver une preuve de ce consentement. Par exemple, la CNIL préconise que le responsable de traitement tienne un registre des consentements.
Étant précisé qu’une fois le traitement terminé, la preuve du consentement ne devrait pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement.
Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial. Si les opérations de traitement évoluent considérablement, le G29 préconise qu’un nouveau consentement soit obtenu.
VI. Le cas particulier du consentement aux données sensibles.
Un consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel est nécessaire.
En quoi le consentement au traitement de données sensibles doit-il être plus explicite encore que le consentement au traitement de données classiques ?
« Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. »
Cela signifierait qu’un consentement donné oralement n’est pas approprié en matière de données sensibles.
« Une telle déclaration signée n’est toutefois pas la seule façon d’obtenir le consentement explicite. Par exemple, dans un contexte numérique ou en ligne, une personne concernée peut être en mesure de fournir la déclaration nécessaire en remplissant un formulaire électronique, en envoyant un courrier électronique, en téléchargeant un document scanné porteur de la signature de la personne concernée ou en utilisant une signature électronique ».
« Une vérification en deux étapes du consentement peut également être une façon de s’assurer que le consentement explicite est valable. »
Par exemple, si un responsable de traitement envoie un courrier électronique à une personne l’informant de son intention de traiter des informations médicales, ce message devra formaliser une demande de consentement et expliquer les caractéristiques et finalités du traitement. La personne concernée devra consentir expressément à l’utilisation de ses données, par exemple, en répondant qu’elle consent (par retour d’email) ou en cliquant sur un lien de vérification ou encore en renseignant un code reçu par SMS.
La mise en œuvre des modalités de recueil du consentement nécessite des changements organisationnels et techniques au sein des organismes. Ces changements doivent prendre en compte l’ensemble des principes cités ci-dessus y compris le stockage de la preuve des consentements reçus. A défaut, tout traitement qui serait basé sur un consentement qui n’aurait pas été valablement recueilli serait illicite et tomberait sous le coup des lourdes sanctions prévues par le RGPD.
Discussions en cours :
Vous n’abordez pas ce sujet deu consentement valable au dépôt des cookies pour les visiteurs de sites web.
En effet, la date à laquelle j’ai écrit cet article est bien antérieure aux dernières lignes directrices de la CNIL. Vous pouvez retrouver ma synthèse de ces lignes et recommandations ici : https://www.village-justice.com/articles/cookies-lignes-directrices-recommandations-cnil-septembre-2020,36749.html