Le 25 mai dernier marque les 5 ans d’entrée en vigueur dans l’Union Européenne du Règlement Général de Protection des données à caractère personnel (ci-après « RGPD »). Cet événement est significatif tant le texte a eu un impact majeur sur la manière dont les entreprises et les organisations gèrent les données personnelles et la vie privée des personnes.
En effet, depuis son entrée en vigueur, le RGPD a bouleversé l’organisation des entreprises, les poussant à s’emparer de ses principes directeurs en vertu du concept d’accountability [1]. Ce mouvement de responsabilisation s’est évidemment accompagné de débats sur des notions qui continuent d’être questionnées : c’est le cas du concept de consentement.
Pour en saisir les enjeux, revenons, tout d’abord, sur le contexte et la raison d’être du RGPD.
1. Le consentement : garant de la maîtrise de vos données.
Le RGPD entend renforcer la maîtrise par les personnes physiques du traitement des données à caractère personnel les concernant face au développement rapide des nouvelles technologies [2]. Or, le consentement assure aux personnes un levier de maîtrise de leurs données.
Intuitivement, il paraît évident que le consentement d’une personne prend une place centrale dans la validité du traitement des données la concernant. En effet, quoi de plus pertinent que le consentement pour exprimer la volonté, ou non, pour une personne de voir ses données personnelles être collectées et exploitées par telle ou telle entité ?
Par ailleurs, le recueil du consentement de la personne dont on envisage la collecte des données personnelles doit nécessairement être accompagné du respect par le responsable de traitement, d’une obligation d’information. De ce fait, le consentement - éclairé - permet aux personnes de prendre la juste mesure du traitement en cause, et ainsi d’assurer une meilleure maîtrise par ladite personne de ses propres données.
Néanmoins, la réalité du droit des données à caractère personnel, qui implique de prendre en compte un ensemble d’éléments concernant le contexte du traitement en cause, oblige à nuancer cette première idée que l’on peut se faire de la place du consentement dans le RGPD.
2. Le consentement : une base légale parmi d’autres.
Le RGPD n’a pas entendu ériger le consentement, une fois obtenu, en un moyen rendant le traitement des données à caractère personnel concernées incritiquable. De fait, le consentement n’est pas toujours la base légale de traitement de données la plus facile à manier.
En effet, l’architecture du RGPD est telle qu’il est nécessaire que tout traitement de données à caractère personnel soit fondé sur une base légale [3], que le responsable de traitement se doit de déterminer au préalable. Il s’agit d’une condition de licéité du traitement envisagé à l’article 5 du texte.
Or, le RGPD ne fait pas du consentement le seul fondement licite d’un traitement de données à caractère personnel. Le consentement est bel et bien une base légale valable, prévue par le RGPD. Cependant, il n’est pas l’unique fondement envisageable.
Six bases légales sont en effet prévues par le RGPD (Article 6 du RGPD) :
- le consentement ;
- le contrat ;
- l’obligation légale ;
- la sauvegarde des intérêts vitaux ;
- l’intérêt public ;
- et enfin, l’intérêt légitime.
Le responsable de traitement doit choisir, en amont, la base légale la plus pertinente à la situation et au type de traitement envisagé. Cette exigence découle des principes directeurs du RGPD rappelés à l’article 5, et notamment du principe d’accountability [4] ce travail de réflexion quant à la base légale adéquate pour le traitement envisagé incombant au responsable de traitement, qui doit être en mesure de justifier de ce choix à tout moment, et particulièrement à la CNIL [5] en cas de contrôle.
Dès lors qu’un responsable de traitement choisit de fonder un traitement de données à caractère personnel sur le consentement de la personne concernée, différentes conditions liées à son recueil sont à respecter. Le consentement doit être cumulativement libre, univoque, spécifique et éclairé (considérants 42 et 43, articles 4(11), 6(1) a), et 7 du RGPD) [6] [7].
- Un consentement éclairé.
Pour que le consentement soit éclairé, la personne concernée doit avoir été informée, au moment du recueil de son consentement, a minima de l’identité du responsable du traitement et des finalités du traitement auquel sont destinées les données à caractère personnel la concernant.
- Un consentement libre.
Afin que le consentement puisse être considéré comme ayant été donné librement, la personne concernée doit disposer d’une véritable liberté de choix et être en mesure de refuser ou de retirer son consentement sans subir de préjudice [8]. Tel n’est pas le cas non plus lorsqu’il subsiste un déséquilibre significatif entre cette dernière et le responsable de traitement.
Cela a notamment pour conséquence de rendre difficilement conciliable le fait que le responsable de traitement soit une autorité publique et que le traitement soit fondé sur le consentement [9]. Autre conséquence concrète, cela suppose que le consentement doit pouvoir être retiré à tout moment, ce qui implique que le responsable de traitement doit prévoir les modalités de retrait du consentement, qui doivent être équivalentes à celles mises en place lors du recueil initial du consentement.
- Un consentement spécifique.
Pour assurer que le consentement soit éclairé et que la personne concernée puisse être en mesure d’avoir un degré de contrôle suffisant sur la portée de ce à quoi elle est invitée à consentir, l’article 6, 1, a), insiste sur le fait que le consentement doit être donné en lien avec « une ou plusieurs finalités spécifiques ».
Ainsi, le responsable de traitement ne devrait pas recueillir simultanément le consentement de la personne concernée concernant la conservation d’une adresse e-mail et de coordonnées de paiement pour faciliter de prochaines réservations en ligne ainsi que d’une adresse email pour recevoir des publicités de la part des entreprises partenaires.
En pratique, il est nécessaire que le responsable de traitement mette à disposition deux boutons d’acceptations distincts à cocher, prévoyant d’une part « j’accepte que mon adresse email et mes coordonnées de paiement (carte bancaire) soient conservées pour faciliter mes prochaines réservations » et d’autre part « j’accepte mon adresse email soit utilisée pour recevoir des publicités de la part des entreprises partenaires ».
- Un consentement univoque.
Le consentement univoque est celui par lequel la personne accepte, par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ainsi, le responsable de traitement ne doit pas, à titre d’exemple, avoir recours à des cases pré-cochées.
Pour résumer, il est, en principe, possible pour le responsable de traitement de ne pas choisir le consentement comme base légale de son traitement. Ce dernier ayant une option entre 6 bases légales, sous certaines conditions.
Néanmoins, un responsable de traitement peut-il toujours opter pour le recueil du consentement des personnes concernées - sous réserve du respect des conditions de validité précédemment exposées - pour s’assurer de la licéité du traitement des données personnelles ?
3. Le consentement : les cas particuliers envisagés par le RGPD.
Tout d’abord, dans certaines hypothèses, il est impossible d’avoir recours au consentement comme base légale. Par exemple, le considérant 43 du RGPD précise que lorsque le responsable du traitement est une autorité publique poursuivant une mission d’intérêt public et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière, le consentement ne saurait être utilisé comme base légale de traitement. C’est donc pour contrer les effets d’une relation asymétrique entre le responsable de traitement et la personne concernée - laquelle peut avoir besoin d’une protection renforcée - et les déséquilibres qu’elles engendrent, que le RGPD écarte le recours au consentement dans certaines situations [10].
Dans d’autres hypothèses, au contraire, le recueil préalable du consentement est obligatoire. Le consentement apparaît ici comme un moyen d’encadrer davantage des données dont la sensibilité est caractérisée. Plus précisément, le RGPD distingue une certaine catégorie de données : les données dites « sensibles » que le RGPD qualifie de « catégories particulières de données à caractère personnel » dont le traitement est en principe interdit [11]. Selon ce texte, sont sensibles les données qui relèvent de
« l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique » [12].
Or ici, c’est à titre dérogatoire qu’intervient le consentement. En effet, par exception, le traitement de ces données est possible à condition d’avoir recueilli notamment le consentement exprès et préalable de la personne concernée.
Par ailleurs, au-delà du cas des données sensibles, certains traitements sont soumis au recueil préalable du consentement de la personne concernée. C’est le cas par exemple de la prospection commerciale par voie électronique [13]. Sauf exceptions [14], cette dernière est possible, à condition que les personnes aient explicitement donné leur consentement avant d’être démarchées.
C’est aussi le cas lorsque le consentement est utilisé pour encadrer certains traitements de données personnelles. En effet, en l’absence de décision d’adéquation ou de garanties appropriées, un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut notamment avoir lieu qu’à la condition que la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées.
En plus du recueil du consentement, le responsable de traitement est tenu d’analyser, selon l’arrêt Schrems II, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union [15].
En définitive, le consentement est à la fois l’une des bases légales envisageables, une dérogation à l’interdiction du traitement des données sensibles et une obligation dans le cadre de certains traitements. Cela démontre, s’il en est, la nécessité pour le responsable de traitement de manier cette base légale avec prudence.
Ainsi, le choix de la base légale doit se faire de façon raisonnée tant les implications opérationnelles et juridiques sont nombreuses. En particulier, lorsque le choix de la base légale n’est pas le bon. Sur ce point, le RGPD est clair, un traitement qui ne repose pas sur un fondement valable est illicite. Or, les conséquences de l’illicéité du traitement, particulièrement importantes [16], pourront jaillir tant sur le responsable de traitement que le sous-traitant.
Enfin, il convient de garder à l’esprit que lorsque le consentement est recueilli au titre de la base légale du traitement envisagé, il n’est pas non plus un blanc sein pour la suite des opérations de traitement de données. Ce dernier devra établir un registre de traitement [17], envisager d’effectuer une analyse d’impact [18] lorsque la nature du traitement l’exige, et le cas échéant, mettre en place les mesures techniques et organisationnelles appropriées pour s’assurer - et être en mesure de démontrer - que le traitement est effectué conformément au RGPD. Le choix d’une base légale adaptée n’est en effet qu’une exigence, parmi d’autres, du texte.
En somme, le responsable de traitement peut effectivement, sous réserves de certaines situations particulières, se passer de votre consentement pour traiter vos données à caractère personnel. Néanmoins, le traitement de vos données doit dans ce cas reposer sur une autre base légale prévue par le RGPD et notamment respecter le principe de nécessité.
En toute hypothèse, lorsque le traitement de vos données repose sur le recueil préalable de votre consentement, encore faut-il qu’il soit libre, univoque, spécifique et éclairé et que vous ne soyez pas dans une situation de vulnérabilité particulière, vous empêchant par exemple de retirer votre consentement à tout moment.