Tout ce que vous devez savoir sur le consentement dans le RGPD

Soumya Patnaik

Data protection consultant

Le concept de « consentement » devrait être assez évident car il s'agit d'une notion courante. En fait, « consentement » signifie accord de volonté et a toujours été l'un des principes fondamentaux du droit des contrats. Cependant, récemment, nous avons vu des discussions troublantes autour du « consentement » couvrant divers domaines du spectre social et juridique.

Le consentement était l'un des fondements juridiques du traitement des données à caractère personnel, même avant l’entrée en vigueur du RGPD en mai 2018. Toutefois, le RGPD a approfondi la question en codifiant les exigences essentielles d’un consentement valide.

Dans cet article, nous discuterons le consentement dans le contexte du RGPD et analyserons les éléments essentiels du consentement valable.

1. Quels sont les éléments d’un consentement valable selon le RGPD ?

Conformément à l'article 4, paragraphe 11, du RGPD, le consentement doit être :

  1. libre ;
  2. spécifique ;
  3. éclairée ;
  4. une manifestation de volonté univoque des souhaits de la personne concernée ;
  5. une déclaration ou une action affirmative claire.

Ensuite, nous analyserons chaque élément séparément.

2. Quand dit-on que le consentement est « libre » ?

L’adjectif « libre » implique que le consentement des personnes concernées ne doit pas être influencé par le responsable du traitement par des moyens tels que la contrainte, la dissuasion, les difficultés, l'intimidation, l'accès aux services, etc. À cet égard, le RGPD souligne les points suivants :

  1. Conditionnalité : l'article 7, paragraphe 4, ainsi que le considérant 43 du RGPD établissent que le consentement ne sera pas considéré comme étant donné librement si l'exécution d'un contrat ou la fourniture d'un service est conditionnelle à un tel consentement. Ceci est corroboré par l'article 6 selon lequel, si le traitement est nécessaire à l'exécution d'un contrat, son fondement juridique est « l'exécution du contrat » et non le « consentement ».
  2. Déséquilibre des rapports de force : pour garantir que le consentement est donné librement, il ne doit pas exister de déséquilibre entre les personnes concernées et les responsables du traitement. Un exemple de ce déséquilibre serait celui qui se produit dans le contexte d’un emploi. Dans ce cas, le consentement ne constitue pas un motif valable pour le traitement des données à caractère personnel.
  3. Préjudice : selon le considérant 42 du RGPD, le responsable du traitement doit démontrer qu’il est possible de refuser ou de retirer son consentement sans subir de préjudice.

L'utilisation récente de cookies sur le site Web du Washington Post illustre bien à quel point il est difficile d'obtenir le consentement en vertu du RGPD. Le Washington Post a obligé les lecteurs à accepter l’utilisation de cookies tiers, à la publicité ciblée ou à obtenir un abonnement en payant des frais déterminés. Le 19 novembre 2018, l’ICO a averti le Washington Post que cette manière d'obtenir le consentement de l'utilisateur violait l'article 7, paragraphe 4, du RGPD : le consentement n'est pas libre parce que l'accès aux services est soumis à un tel consentement, et le traitement des données n'était en fait pas nécessaire pour fournir ces services. Pour en savoir davantage, vous pouvez consulter l’article sur les cookies.

3. Que signifie « spécifique » ?

La spécificité fait référence aux finalités du traitement. Cela signifie que le consentement doit être spécifique à chaque finalité pour laquelle il est demandé. S'il y a plus d'une finalité, il sera nécessaire d'obtenir un consentement spécifique pour chaque finalité de traitement. Par conséquent, le consentement doit être détaillé. Cela figure dans le considérant 32 du RGPD, qui stipule que « lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles ».

4. Comment le consentement « éclairé » est-il obtenu ?

Le RGPD renforce l’exigence selon laquelle le consentement doit être éclairé et ceci est intimement lié au principe de transparence. Pour que le consentement soit éclairé, il est nécessaire de fournir des informations aux personnes concernées afin de leur permettre de prendre des décisions en toute connaissance de cause. Le Groupe de travail « Article 29 » (G29) est-il d’avis qu’au moins les informations suivantes sont nécessaires afin d’obtenir un consentement valable :

  1. l’identité du responsable du traitement ;
  2. la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité ;
  3. les(types de données collectées et utilisées ;
  4. l’existence du droit de retirer son consentement ;
  5. des informations concernant l’utilisation des données pour la prise de décision automatisée, le cas échéant ; et
  6. des informations sur les risques éventuels liés à la transmission des données en raison de l’absence de garanties appropriées telles que décrites à l’article 46.
  7. le cas échéant, les obligations d'information prévues aux articles 13 et 14 du RGPD doivent être remplies.

5. Comment fournir ces informations aux personnes concernées ?

Le RGPD ne stipule pas la forme sous laquelle les informations doivent être fournies afin de satisfaire à l’exigence du consentement éclairé mais il exige un certain niveau de clarté et d'accessibilité des informations et l'utilisation d'un langage clair et simple. En outre, le consentement doit être clair et se distinguer des autres questions. Cela signifie qu’il ne peut pas être caché dans une liste de termes et conditions du site Web et doit être clairement différencié dans un document séparé. Selon le G29, des informations superposées ou détaillées peuvent être un moyen adéquat de gérer la double obligation que celles-ci soient précises et complètes d’un côté, et compréhensibles d’un autre.

6. Que signifie la « manifestation de volonté univoque » ?

Le RGPD établit clairement que le consentement nécessite une déclaration de la part de la personne concernée ou un acte positif clair, ce qui signifie que le silence, l'inactivité et les cases cochées par défaut ne sont pas valides selon le RGPD. Alors, pour que le consentement soit valide, il doit toujours être donné par une déclaration ou un geste actif. Le considérant 32 établit des orientations complémentaires à cet égard : le consentement peut être recueilli au moyen d’une déclaration écrite ou orale, y compris par voie électronique. L'important est que l'acceptation de la personne concernée soit claire. Par conséquent, les responsables du traitement conservent la liberté de développer un mode de consentement qui convienne à leur organisation dans le respect des exigences du RGPD. Selon le G29, les mouvements physiques (tels que faire glisser une barre sur un écran ou agiter la main devant une caméra) peuvent être qualifiés d’actes positifs clairs et constituent donc une manifestation d'un consentement valable. Mais faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair car le consentement peut être difficile à distinguer.

7. Qu'est-ce que le consentement explicite et en quoi est-il différent du consentement standard ?

Dans certaines situations de traitement de données, s'il existe un risque élevé pour les droits des personnes concernées, le RGPD exige le consentement explicite au lieu du consentement standard. Par exemple, dans le traitement de catégories particulières de données à caractère personnel à l'article 9 ou dans le transfert de données vers des pays tiers ou des organisations internationales en l'absence de garanties appropriées, telles que définies à l'article 49, et dans le cas de décisions individuelles automatisées, y compris le profilage de l'article 22.

Bien que le RGPD ne donne pas de définition du « consentement explicite », selon le G29, le terme « explicite » se rapporte à la façon dont le consentement est exprimé par la personne concernée, ne laissent aucun doute sur l’intention de la personne concernée. Cela signifie qu’elle doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite et signée. Dans un contexte numérique, le consentement explicite peut être obtenu en remplissant un formulaire électronique, en envoyant un courrier électronique, en téléchargeant un document scanné porteur de la signature de la personne concernée, etc. La vérification en deux étapes du consentement peut également être une façon de s’assurer que le consentement explicite est valable.

De ce qui précède, nous pouvons conclure que, selon le RGPD, le consentement doit être une expression authentique, éclairée et motivée de la volonté de la personne concernée en ce qui concerne l'utilisation de leurs données personnelles. Ces exigences reposent sur l’intention du législateur : protéger le droit des personnes concernées à la vie privée en leur donnant le contrôle ultime sur leurs données personnelle.

 

Lisez plus ici

  • Voulez-vous en savoir plus sur le consentement et son application aux cookies ? Lisez notre article sur les cookies ici.
  • Que doivent savoir les experts du marketing sur la conformité au RGPD ? Lisez notre article ici.