Le règlement européen sur la protection des données personnelles (RGPD) a apporté des précisions quant à la manière dont le consentement à un traitement des données à caractère personnel doit être obtenu (et retiré), en donnant une nouvelle définition et en précisant les exigences dans certaines situations.
Ces dispositions ont fait couler beaucoup d’encre concernant l’utilisation des cookies et autres traceurs mais elles s’appliquent également à tout traitement de données dont la base légale est le consentement (pour plus d’information concernant les bases légales, cliquer ici).
Cet article a pour objectif de fournir un aperçu général des conditions de validité d’un consentement RGPD.
Définition. Selon le RGPD, le consentement est une indication librement donnée, précise, informée et sans ambiguïté des souhaits de l’individu. Cette indication peut être soit une déclaration soit une action affirmative claire.
Consentement / Conditions Générales ou Politique de confidentialité. Lorsque le consentement est la base légale du traitement des données, les termes du consentement doivent être présentés d’une manière qui se distingue clairement des autres, en particulier lorsque ces derniers font partie des Conditions Générales. Un langage clair doit être utilisé.
A cet effet, la CJUE a précisé que les informations relatives à toutes les circonstances entourant ce traitement doivent être fournies à la personne concernées sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple, afin que la personne comprenne facilement les conséquences de ce consentement, de sorte qu’il soit donné en toute connaissance de cause. (Voir ici pour plus d’information)
Portée du consentement. Le consentement doit couvrir toutes les activités de traitement ayant la même finalité et lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble de ces finalités. Toutefois, Le RGPD précise qu’un consentement distinct devrait pouvoir être donné pour différente opérations de traitement (considérant 43). La distinction finalité et opération de traitement n’est pas claire mais le G29 (maintenant CEPD) s’est prononcé pour un consentement distinct pour chaque finalité dans sa recommandation relative au consentement.
Forme du consentement. Le consentement devrait être donné par un acte positif clair, par exemple par une déclaration écrite, y compris par voie électronique, ou une déclaration orale. Cela pourrait être matérialisé par une case à cocher, des paramètres techniques pour les services de la société de l’information ou une autre déclaration ou comportement qui indique clairement dans ce contexte l’acceptation par l’individu du traitement proposé. Le silence, les cases pré-cochées ou l’inactivité ne sont pas des formes de consentement valides.
Services conditionnels au consentement. Lorsque la prestation de services est subordonnée à l’obtention du consentement d’un individu à un traitement de données qui n’est pas nécessaire à la prestation des services (par exemple, le marketing direct par courrier électronique), le consentement pourrait ne pas être considéré comme donné librement. Toutefois, même si une «importance absolue» sera accordée à cette manière d’obtenir le consentement lors de l’évaluation de la validité du consentement, il n’est pas expressément interdit, de sorte qu’il y aura peut-être place pour certains types de services conditionnels. A cet effet, le débat est important en ce qui concerne la pratique des cookies wall. En pratique, il s’agit de proposer une alternative acceptable pour la personne concernée.
Droit de retirer son consentement à tout moment. Le responsable de traitement doit donner la possibilité aux personnes concernées de retirer leur consentement à tout moment. Il doit être aussi facile de retirer que de donner son consentement.
Consentement des mineurs. Lorsque la personne fournissant ses données personnelles a moins de 16 ans, les parents ou toute personne ayant une autorité légale doivent donner leur accord pour que le consentement soit considéré comme valide. Toutefois, selon l’Etat membre, le seuil peut être abaissé à 13 ans. (En France, le seuil a été fixé à 15 ans).
Preuve du consentement. Les responsables de traitement doivent être en mesure de démontrer qu’ils ont obtenu le consentement de l’individu.
Sanction. Le fait de ne pas obtenir le consentement de l’individu pourrait faire l’objet d’une amende d’un montant de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel. Le fait de ne pas obtenir le consentement des parents fait l’objet d’une amende de 10 millions d’euros ou de 2% du chiffre d’affaires mondial annuel.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.