Comment faut-il comprendre la notion de ‘consentement’ dans le RGPD ?

Le consentement est l’un des six fondements possibles prévus dans le RGPD sur base desquels des données à caractère personnel peuvent être traitées. Le 28 novembre 2017, le dénommé « Groupe de travail Article 29 », en abrégé G29 - l’organe indépendant de conseil et de consultation des Contrôleurs européens de la protection des données - a publié un avis dans lequel est traitée la notion de « consentement ».

Comme indiqué dans un précédent Newsflash, le RGPD introduit de nouvelles conditions plus strictes en ce qui concerne le consentement. Le RGPD définit le consentement comme une manifestation de volonté (i) libre, (ii) spécifique, (iii) éclairée et (iv) univoque par laquelle la personne concernée accepte, par un acte positif, le traitement de ses données à caractère personnel. Dans son avis, le G29 examine ce que ces quatre conditions de validité impliquent précisément, et conclut que - pour être valable - le consentement doit :

  •  être donné librement : la personne concernée doit avoir un réel choix et un certain degré de contrôle sur le traitement des données à caractère personnel. Le consentement ne sera par conséquent pas valable s’il y a un déséquilibre de force entre le responsable du traitement et la personne concernée - comme c’est le cas dans le cadre d’un contrat de travail - ou lorsque l’exécution d’une convention est subordonnée à l’octroi du consentement. En outre, le consentement doit - si le traitement poursuit plusieurs finalités - être donné pour chacune d’entre elles séparément. Enfin, la personne concernée doit pouvoir refuser de donner son consentement, ou pouvoir le retirer sans que cela ne puisse avoir de conséquences défavorables.
     
  • être spécifique : selon le G29, le consentement n’est spécifique que si le responsable du traitement (i) explique le but du traitement, (ii) demande un consentement distinct dans le cas d’un traitement avec plusieurs finalités, et (iii) distingue clairement les informations relatives à la réception du consentement à un traitement de données, des informations relatives à d’autres questions.
     
  • être éclairé : le consentement ne peut - selon le G29 - être éclairé que si les informations suivantes ont, au minimum, été fournies à la personne concernée :
    • l’identité du responsable du traitement ;
    • le but de chaque traitement de données pour lequel le consentement est demandé ;
    • le type de données qui sera collecté et utilisé ;
    • le droit de retirer le consentement ;
    • les informations sur l’utilisation des données dans le cadre d’une prise de décision automatisée ;
    • les risques potentiels d’un transfert de données à caractère personnel vers des pays tiers en dehors de l’EEE.
       
  • être univoque : le consentement doit être donné par un acte ou une déclaration positif duquel le consentement ressort clairement, comme une signature sur un formulaire ou un clic sur un écran. Ce qu’on appelle les « cases pré-cochées » ou les accords implicites ne sont désormais plus possibles.

Le G29 indique également qu’un responsable de traitement doit toujours pouvoir prouver qu’il a reçu le consentement (valable) de la personne concernée. Il faut donc pouvoir démontrer quand le consentement a été reçu et quelles informations ont été données à la personne concernée.

Le Groupe de travail souligne, en outre, que la personne concernée a toujours la possibilité de retirer son consentement. Il doit être aussi simple pour la personne concernée de retirer son consentement, que de le donner. Si, par exemple, le consentement a été donné par un simple clic de souris, il doit pouvoir être retiré tout aussi simplement.

Qu’est-ce que le consentement explicite ?

Le G29 examine ensuite la notion de « consentement explicite ». Le RGPD prévoit, en effet, que dans certaines situations spécifiques (telles que par ex. le traitement de données à caractère personnel sensibles comme les données relatives à la santé, données desquelles ressort l’origine raciale,...), le consentement doit être « explicite ». Selon le G29, il est dans cette hypothèse requis d’avoir une déclaration explicite de consentement, par ex. : une déclaration écrite, un e-mail, un formulaire rempli électroniquement, ...

Points d’attention particuliers

Le Groupe de travail identifie par ailleurs deux points d’attention particuliers dans le RGPD :

  • enfants : pour les services offerts directement en ligne, le RGPD détermine que les enfants ne peuvent valablement donner leur consentement que s’ils sont âgés d’au moins 16 ans (sauf si l’Etat Membre a légalement prévu un âge inférieur). Si l’enfant est âgé de moins de 16 ans, le consentement doit être donné par la personne qui est titulaire de la responsabilité parentale à l’égard de l’enfant. Selon le G29, les responsables du traitement doivent fournir des efforts raisonnables pour vérifier l’âge de l’enfant, et à cette fin utiliser le langage adapté.
     
  • recherche scientifique : en matière de recherche scientifique, le RGPD prévoit par voie d’exception que le but du traitement des données peut être décrit de manière plus générale. Le Groupe de travail rappelle dans son avis que cette exception doit être interprétée strictement, surtout lorsque des données sensibles sont concernées.

Consentement donné avant le RGPD

Si le consentement a été donné avant l’entrée en vigueur du RGPD, celui-ci sera - selon le Groupe de travail - uniquement valable après l’entrée en vigueur du RGPD s’il remplit les nouvelles conditions. Le Groupe de travail recommande aux responsables du traitement - si le consentement devait ne plus être valable à partir de l’entrée en vigueur du RGPD - soit d’obtenir un nouveau consentement qui est conforme au RGPD, soit d’effectuer le traitement de données sur base d’un autre fondement juridique.

A ce sujet, nous souhaitons rappeler que pour de nombreux traitements, d’autres fondements sont possibles et que le consentement n’est donc pas nécessaire. Les fondements les plus utiles sont :

  • Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles (par ex. contrat de travail) ;
  • Le traitement est nécessaire au respect d’une obligation légale (droit social, droit comptable,...) ;
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.