Initiation au RGPD (3) : consentement
Suite aux deux premiers articles sur l’élargissement de la notion de donnée personnelle et sur l’application territoriale, passons aux moyens du Règlement européen sur la protection des données personnelles (RGPD) qui permettent aux personnes voulant traiter des données personnelles de justifier ce traitement, et en particulier le consentement.
La directive 95/46
La directive 95/46 (qui sera remplacée par le RGPD) dispose actuellement à son article 7, lettre a, que
le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement.
Le consentement doit être compris comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement (art. 2 let. h).Sur la notion de consentement, le Groupe de travail “Article 29” sur la protection des données a émis en 2011 un avis sur la définition à donner au consentement. Car le consentement est l’un des moyens de rendre licite un traitement de données personnelles. Il y en a d’autres, comme l’exécution d’un contrat ou la sauvegarde d’intérêts prépondérants, mais le consentement revêt un rôle central. En effet, dans le cas d’un traitement de données sensibles, le consentement est absolument nécessaire et les conditions auxquelles il peut être obtenu sont plus strictes.
Il faut tout d’abord garder à l’esprit que l’obtention du consentement de la personne concernée n’annule pas les obligations du responsable du traitement relatives notamment à la proportionnalité du traitement. Le consentement vise justement à permettre à la personne concernée d’exercer un certain contrôle sur le traitement qui est fait de ses données. En principe, le consentement doit être donné avant tout traitement, sans quoi le traitement n’est pas légitimé, à moins de se reposer sur un autre moyen justificatif (cf. art. 7 de la directive).
Le consentement consiste normalement en une action, il ne devrait pouvoir être donné passivement (ou par une abstention) que restrictivement. Il est de toute façon dans l’intérêt du responsable de traitement qu’il ait une certitude et une preuve du consentement. La notion de liberté exposée dans la définition ci-dessus implique qu’on ne peut ni ne doit exercer aucune pression sur la personne concernée pour obtenir son consentement (par ex. un rapport hiérarchique, lien de dépendance, etc.). Le consentement doit encore être donné spécifiquement à un traitement bien particulier, il ne peut être donné de manière générale. Enfin, la personne concernée doit être informée quant au but du traitement, la nature des données traitées, les éventuels transferts de données à d’autres personnes, etc.
La directive exige encore que le consentement soit donné de manière indubitable. Cela signifie que la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée de donner son consentement. Il ne doit y avoir aucune ambiguïté.
Le RGPD
Le RGPD contient la disposition suivante quant au consentement (art. 7).
1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.
Le considérant 32 du RGPD précise encore notamment que
Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.
En résumé, à l’instar de ce que prévoyait la directive, le consentement sous le RGPD devra être donné de manière indubitable, après que la personne concernée aura été informée, il ne pourra être valable s’il n’est pas libre, clair et explicitement distinguable d’autres problématiques.
Des conditions supplémentaires seront spécialement prévues à l’art. 8 RGPD pour les enfants mineurs. C’est une vraie nouveauté, car la directive ne contenait aucune disposition spécifique sur ce sujet.
1. […] le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.
Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.
2. Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
3. […]
Conclusion et implications pratiques
Les dispositions sur le consentement n’ont pas beaucoup évolué entre la directive et le règlement. Ce dernier est surtout plus précis et laisse moins de place à l’ambiguïté et à l’interprétation. Il apporte des dispositions bienvenues concernant la protection des données personnelles des jeunes de moins de 16 ans.
Pour les responsables de traitement, la situation se complique un peu. Ils devront s’assurer d’obtenir et de conserver la preuve que le consentement a été donné (conformément aux conditions du RGPD) par la personne concernée, et ce pour chaque activité. Il impliquera aussi un suivi précis de l’actualité du consentement, c’est-à-dire s’il est encore valable ou s’il a été révoqué.
Ces exigences supplémentaires pourraient inciter les responsables de traitement à se servir d’autres moyens permettant de justifier un traitement de données personnelles, sans le consentement de la personne concernée (cf. art. 6 al. 1 RGPD). Cela ne dispensera pas cependant d’informer la personne concernée du traitement effectué et du moyen utilisé pour légitimer ce traitement.