Par décision du 11 novembre 2020 (C-61/19), la Cour de justice de l’Union européenne (CJUE) a précisé les conditions applicables pour obtenir un consentement conforme au GDPR.
En effet, la Cour a jugé que le consentement des personnes concernées au traitement de leurs données personnelles n’était pas valable dans les cas suivants :
- lorsque le responsable du traitement (c’est-à-dire Orange România) a coché au préalable la case de consentement se référant à une clause contenue dans un contrat et indiquant que le client a consenti à la collecte et à la conservation de ses données à caractère personnel (en l’occurrence, son document d’identité) ; ou
- lorsqu’il n’était pas clair que les personnes pouvaient refuser les opérations de traitement sans subir de conséquences sur la possibilité de conclure le contrat de service ; ou
- lorsque la liberté de choix des personnes pouvait être affectée par l’obligation de remplir un formulaire supplémentaire pour refuser le traitement des données à caractère personnel.
La Cour rappelle également que :
- le responsable du traitement doit démontrer que la personne concernée a, par un comportement actif, donné son consentement au traitement de ses données à caractère personnel;
- Il a fourni au préalable des informations relatives à toutes les circonstances entourant ce traitement, sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple, afin que la personne comprenne facilement les conséquences de ce consentement, de sorte qu’il soit donné en toute connaissance de cause.
Si le RGPD prévoit la plupart des conditions énoncées ci-dessus, la Cour a défini des nouvelles exigences dont les contours ne sont pas toujours clairs.
1. Les faits et la procédure
Le 28 mars 2018, l’autorité roumaine de protection des données a imposé une amende à la société Orange RomâniaSA, un fournisseur de services de télécommunications mobiles en Roumanie, pour avoir collecté et stocké des copies des documents d’identité de ses clients sans leur consentement exprès.
Selon l’Autorité, entre le 1er et le 26 mars 2018, Orange România a conclu avec ses clients des contrats de services de télécommunications mobiles contenant une clause stipulant que les clients ont été informés de la collecte et du stockage d’une copie de leurs documents d’identité à des fins d’identification et qu’ils y ont consenti.
Toutefois, Orange România a coché la case de consentement relative à cette clause avant que les clients ne signent le contrat.
En outre, lorsque les clients ne voulaient pas consentir à ce traitement de données, Orange România leur demandait de déclarer par écrit qu’ils refusaient la collecte et au stockage d’une copie de leurs documents d’identité.
Le Tribunal de Bucureșt a demandé à la Cour de justice de préciser les conditions dans lesquelles le consentement du RGPD est valable.
2. La Cour européenne précise ses exigences pour un consentement RGPD valide
Le responsable du traitement doit fournir des informations suffisantes permettant aux personnes de comprendre les conséquences de leur consentement afin qu’il soit donné en toute connaissance de cause.
La Cour européenne a jugé que le responsable du traitement doit fournir à la personne concernée une information préalable relative à toutes les circonstances entourant ces traitements (…) permettant à cette personne de comprendre facilement les conséquences de ce consentement afin qu’il soit donné en connaissance de cause.
Toutefois, la Cour n’a pas précisé ce que doivent signifier « toutes les circonstances entourant les traitements » ou « les conséquences » du consentement et a exigé que le responsable du traitement s’assure que les personnes ont donné leur consentement en connaissance de cause.
Dans le cas présent, la Cour a peut-être voulu couvrir le fait que l’information doit être claire sur le fait que le refus des traitements n’affecte pas la possibilité de conclure le contrat de service. Toutefois, il s’agit davantage d’une conséquence du refus des personnes que de leur consentement.
Par conséquent, sans plus de détails, il est difficile de savoir avec certitude ce que la cour a voulu dire en pratique et cela peut créer une certaine incertitude quant aux informations que le responsable du traitement doit fournir. La forme et le contenu de ces informations doivent être analysés au cas par cas pour s’assurer que la personne n’est pas induite en erreur.
En outre, on peut se demander si la Cour demanderait aux responsables du traitement de fournir des informations non obligatoires pour répondre à ses exigences dans certaines circonstances (par exemple, en fournissant des détails sur les données, etc.).
Les personnes ne doivent pas être induites en erreur quant à la possibilité de refuser les opérations de traitement tout en concluant la convention de service
Selon la Cour, le consentement n’est pas valable si les termes du contrat sont trompeurs quant à la possibilité pour les personnes de conclure le contrat sans consentir aux opérations de traitement.
Dans la pratique, le responsable du traitement des données devrait préciser que le consentement aux opérations de traitement est facultatif, soit en le mentionnant, soit en veillant à ce que la présentation du document ou la rédaction de la clause ne soit pas trompeuse.
Le recours à des cases pré-cochées invalident le consentement RGPD
La Cour souligne qu’il appartient à Orange România, agissant en qualité de responsable du traitement des données, de démontrer que la personne concernée a, par un comportement actif, donné son consentement au traitement de ses données à caractère personnel.
Il résulte de ce qui précède que l’utilisation de cases pré-cochées n’est pas un moyen valable d’obtenir le consentement.
Il n’est pas surprenant que la Cour ait adopté cette position dans la mesure où le RGPD indique expressément qu’une case pré-cochée ou le silence de la personne concernée ne constituent pas un consentement valable.
Le responsable du traitement des données ne doit pas affecter indûment la liberté de choix des personnes
Dans le cas présent, Orange România a demandé à ses clients de déclarer par écrit, au moyen d’un formulaire supplémentaire, qu’ils refusent le traitement de leurs données personnelles.
La Cour estime que cette mesure est inutile et qu’elle est susceptible d’affecter la liberté de choix de l’individu.
Cette position renforce la recommandation de la CNIL sur les cookies concernant la nécessité de fournir un bouton « refuser tout » lors de l’obtention du consentement des utilisateurs à l’utilisation de cookies (par opposition à la fourniture d’un bouton « accepter tout » et « personnaliser votre choix » uniquement).
Conclusion
La CJUE a renforcé les exigences relatives à l’obtention d’un consentement valable dans le cadre du RGPD :
- en exigeant que les personnes soient informées des conséquences de leur consentement afin qu’elle le donne en toute connaissance de cause ;
- en exigeant que le responsable du traitement n’induise pas les personnes en erreur sur la possibilité de refuser les opérations de traitement tout en concluant la convention de service ; et
- en interdisant aux responsables du traitement d’exiger de leurs clients/individus qu’ils prennent des mesures inutiles (comme remplir un formulaire) lorsqu’ils choisissent de refuser le traitement de leurs données.
