RGPD : La question du consentement

Publié le 20/06/2018 Vu 2 797 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Comme chacun sait, désormais s'applique pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, la mise en conformité au nouveau grand texte européen en matière de données personnelles.

Comme chacun sait, désormais s'applique pour tous les acteurs du numérique, mais aussi et plus largement pou

RGPD : La question du consentement

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

       En effet, le législateur a pu considérer que, compte tenu de l’importance grandissante des interactions numériques entre les personnes, la gestion des données en découlant devait être encadrée précisément, et que la question du consentement constitue effectivement le « cœur névralgique » de ce contrôle : « le consentement fait figure d’élément-clé de la conformité des traitements mis en œuvre puisqu’il s’agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement portant sur leurs données ».

       Il importe donc, deux mois avant l’arrivée du RGPD, de prendre pleinement conscience de la portée des dispositions afférentes au consentement, en abordant successivement les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II).

  1. Les conditions relatives à la nature du consentement requis

Le caractère libre et éclairé (A), autant que le caractère express du consentement (B), sont de ces critères ayant été approfondis par le nouveau texte européen.

  1. L’obligation d’un consentement libre et éclairé

       Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

       Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné.

       Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus.

       Le texte précise aussi que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

       Enfin, l’article 4 du RGPD fait part du caractère « éclairé et univoque » du consentement, quand la directive 95/46 parlait, elle, de « manifestation informée ».

  1. L’obligation d’un consentement explicite

       L’article 4 précité fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

       Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

       De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

       À cet égard, si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace, car « lourde à mettre en place », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

  1. Les conditions relatives à la valeur du consentement requis

       La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

                                         

  1. L’importance du fondement du traitement

       Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

       Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

       En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est déterminé librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

       Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

       Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées.

  1. La charge de la preuve

       La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

       Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

       Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

       Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue. Rendez-vous le 25 mai prochain.

 SOURCES :

  1. http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
  2. http://www.privacy-regulation.eu/fr/r43.htm
  3. https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information--gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
  4. https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
  5. http://www.privacy-regulation.eu/fr/r32.htm
  6. https://fr.mailjet.com/rgpd/consentement/
  7. http://www.privacy-regulation.eu/fr/7.htm
Vous avez une question ?
Blog de Murielle Cahen

Murielle CAHEN

150 € TTC

7 évaluations positives

Note : (5/5)

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles