GDPR : comment recueillir un consentement valide ?

Publié le par - 27499 vues

Le Groupe 29 vient de publier, ce 28 novembre 2017, ses Guidelines relatives à la gestion du consentement tel que réglementé par le GDPR. Ces Guidelines abordent de manière approfondie –sur plus d’une trentaine de pages- les conditions de validité du consentement, la notion de consentement explicite, les informations à fournir, l’interaction entre le consentement et les autres conditions de validité du traitement. Les Guidelines évoquent également des problématiques spécifiques telles que le consentement des enfants, ou encore la question de la validité du consentement obtenu sous l’empire de la directive 95/46/EC.

La notion de consentement comme base légitime de traitement des données personnelles, si elle n’a pas été fondamentalement modifiée avec l’entrée en vigueur du GDPR, a connu des évolutions importantes, avec toujours en ligne de mire la protection accrue des personnes concernées. Le GDPR met en œuvre à cet égard de nombreuses obligations à charge du responsable de traitement. Ci-après quelques morceaux choisis  des principaux points de clarification apportés par le G29. Tous les points abordés par le G29 – comme par exemple le consentement des enfants ou le lien entre le consentement et la recherche scientifique – ne seront pas abordés ci-dessous.

Le consentement valide doit être libre et inconditionné

Pour rappel, l’article 4.(11)  du GDPR définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le G29 aborde dans ses guidelines l’ensemble des conditions de validité du consentement de manière approfondie. La notion de consentement libre est notamment étudiée. Il est non valide si la personne concernée n’a pas de véritable choix ou que l’absence de consentement –ou son retrait- entraîne des conséquences négatives pour lui. Si un déséquilibre est présent entre la personne concernée et le responsable de traitement (autorité publique ou employeur),e G29  préconise une approche au cas par cas. Ce déséquilibre manifeste n’emporte pas nécessairement une absence de consentement libre au vu de la finalité spécifique du traitement.

Des précisions sont aussi apportées concernant l’article 7.(4)  du GDPR qui impose de tenir compte dans l’appréciation du caractère libre du consentement de la subordination de l’exécution du contrat au consentement. Le G29 résume assez bien la règle : si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement.

Ce faisant, le G29 exclut que dans ce cas, les deux conditions de licéité que sont le consentement et la nécessité d’exécuter le contrat s’appliquent cumulativement. Ce qui pose quand même question au regard du texte de l’article 6 du GDPR qui ne paraît pas imposer une telle lecture (il exige qu’au-moins une des conditions de licéité soit remplie, ce qui a priori n’exclut pas que plusieurs puissent l’être, au moins dans certaines hypothèses). Cette exclusion pourrait par contre se comprendre sur la base des légitimes attentes de la personne concernée et du devoir de loyauté du responsable : si un responsable demande un consentement -que la personne peut retirer-, il semble difficile d’admettre ensuite que  le responsable ne tienne pas compte de ce retrait sous prétexte  que le traitement est nécessaire au contrat, si tel était déjà le cas au moment de la collecte.

Le G29 en déduit que si le traitement est nécessaire au contrat, on change le fondement de la licéité du contrat : le consentement n’est plus nécessaire. La condition de nécessité doit cependant être interprétée de manière stricte. Il faut arriver à prouver que sans le traitement, l’exécution du contrat n’est pas possible (pas moyen de payer un salaire sans traiter les coordonnées bancaires, pas moyen de livrer un bien sans traiter les adresses etc.).

Une telle sévérité pose d’évidence problème si la collecte des données est voulue par les parties comme contrepartie d’un service (cfr l’article 3 de la proposition de directive concernant certains aspects des contrats de fourniture de contenu numérique). Le traitement qui suit le paiement est-il alors nécessaire à l’exécution du contrat ou doit-on obtenir un consentement spécifique –et donc faire jouer à l’article 7(4) du GDPR ?

Le consentement : un acte positif clair

Le GDPR prévoit explicitement que le consentement doit être univoque et résulter d’un acte positif clair. Ceci signifie que le silence, ou l’absence de réaction de la part de la personne concernée, tout comme le fait de continuer à utiliser un service, ne peut être considéré comme un comportement actif. Le G29 rappelle aussi que le consentement doit s’exprimer de manière distincte de l’acceptation du contrat ou de ses conditions générales.

Le G29 précise que les responsables de traitement peuvent développer une procédure adaptée à leur organisation : à cet égard, des mouvements physiques (tels que le « swipe » sur un écran, faire un signe devant une caméra, incliner son smartphone dans le sens des aiguilles d’une montre) peuvent constituer un acte positif, à condition qu’il soit clair que le mouvement en question signifie un accord de la personne concernée.

Le G29 soulève également que dans un contexte digital, de nombreux services fonctionnent sur base des données personnelles fournies, ce qui a pour conséquences que les personnes concernées sont souvent voire trop souvent sollicitées pour donner leur consentement. Ceci a pour effet que les personnes ne prêtent plus attention à ce qui leur est demandé et a donc au final l’effet inverse de l’effet désiré, à savoir la reprise de contrôle de la personne sur ses données personnelles. Le G29 suggère à cet égard d’obtenir le consentement des utilisateurs internet via les paramètres du navigateur.

En toute hypothèse, et même si ce n’est pas expressément inclus dans la définition du consentement à l’article 4 (11) du GDPR, le G29 rappelle que le consentement doit nécessairement intervenir AVANT l’activité de traitement.

Distinction entre le consentement comme condition générale  de licéité et le consentement comme condition spécifique de la légalité d’un traitement

En dehors de l’exigence de consentement en tant que condition générale de licéité de l’article 6 du GDPR, un consentement explicite peut conditionner le traitement de certaines données sensibles (article 9  du GDPR), les transferts à des pays tiers en l’absence d’adéquation (article 49  GDPR) et certains traitements impliquant des décisions automatisées (article 22  GDPR).

Dans la mesure où le consentement « de base » doit résulter d’un acte positif clair, quelle est la différence avec le consentement explicite alors prévu dans ces différentes hypothèses?

Le G29 précise que le terme explicite renvoie à la manière dont le consentement est exprimé par la personne concernée qui impose alors des efforts supplémentaires pour le responsable dans les modalités de collecte du consentement. Ceci signifie que la personne concernée doit effectuer une « déclaration expresse » (« express statement ») en guise de consentement. Une façon évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement par une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée, afin d’éliminer tout doute éventuel et toute absence éventuelle de preuves.

Toutefois, le G29 précise qu’une déclaration écrite n’est pas prescrite par le GDPR et serait pour le surplus illusoire dans un contexte virtuel et digital. Le G29 préconise alors, par exemple, le fait, pour la personne concernée, de remplir un formulaire électronique, envoyer un email, uploader un document scanné avec sa signature, ou utiliser une signature électronique.

Le G29 ajoute qu’une vérification du consentement en deux étapes pourrait  constituer  un consentement explicite. Par exemple, une personne concernée reçoit un courrier électronique l’informant de l’intention du responsable de traitement de traiter un dossier contenant des données médicales. Le responsable de traitement explique dans son email qu’il demande le consentement pour l’utilisation d’un ensemble spécifique d’informations dans un but précis. Si les personnes concernées acceptent l’utilisation de ces données, le responsable du traitement leur demande une réponse par courrier électronique contenant la mention «J’accepte». Après l’envoi de la réponse, la personne concernée reçoit un lien de vérification sur lequel il faut cliquer, ou un message SMS avec un code de vérification, pour confirmer son accord.

Le G29 fait en réalité ici référence au mécanisme de « double opt-in », où le responsable de traitement en arrive pratiquement à collecter « deux fois » le consentement en deux étapes distinctes. Ce mécanisme -qui peut être très utile pour se ménager la preuve du consentement- est cependant facultatif et n’exclut pas d’autres dispositifs.

Ce double opt-in, s’il permet indubitablement de disposer d’un consentement explicite incontestable, est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire. En réalité, l’intensité de la notion « explicite » devrait plutôt s’apprécier selon le contexte du traitement, en appréciant les risques que comporte le traitement pour la personne.

Il nous semble aussi qu’il convient aussi d’éviter de mélanger une condition de validité du consentement –le caractère explicite-  avec l’exigence de la preuve de celui-ci et de l’authentification de la personne en cause, qui restent selon nous des conditions distinctes.

Notons que  l’ICO, dans son avis sur le consentement (disponible ici) confirme que le fait de cocher une case dans un environnement numérique constitue bien un consentement explicite, à condition que la déclaration du responsable de traitement mentionne spécifiquement l’élément du traitement qui nécessite un consentement explicite. Par exemple, la déclaration doit spécifier la nature des données sensibles, les détails de la décision automatisée et de ses effets, ou les détails des données à transférer et les risques du transfert.

La position du G29 sur la notion de consentement explicite semble en réalité plus restrictive que par le passé. En effet, avant l’introduction expresse d’acte positif clair dans la législation, le G29 estimait que le consentement explicite équivalait à celui d’acte positif clair (G29, Avis 15/2011 relatif à la définition du consentement). A présent, un « effort supplémentaire » est requis de la part du responsable de traitement. Précisons toutefois qu’il s’agit ici uniquement d’une interprétation et qu’elle ne nous paraît pas s’imposer du texte même du GDPR. L’explicite s’oppose à l’implicite. L’exigence manifestation de volonté univoque par une déclaration claire ou un acte positif, issue de la définition du consentement semble bien imposer aussi un consentement qui ne soit pas implicite (cfr le considérant 32 du GDPR). Inférer une gradation entre la définition du consentement et l’exigence du caractère explicite du consentement, nous laisse donc a priori dubitatifs…

Le responsable de traitement doit se ménager la preuve du consentement

L’article 7.1 du GDPR impose au responsable de traitement de se ménager la preuve du consentement obtenu.

La question est importante pour les responsables de traitement dans la mesure, s’ils ne disposent pas de la preuve du consentement obtenu, ou si cette preuve n’est pas jugée comme étant suffisante, le consentement (même s’il respecte toutes les autres conditions de validité) n’est pas considéré comme valable et le traitement sera donc illicite.

Le GDPR ne précise pas quels moyens devraient être utilisés afin de démontrer le consentement obtenu. La recommandation émise par le groupe 29 n’est pas non plus d’une grande aide dans la mesure où les mesures concrètes à prendre ne sont pas explicitées.

L’autorité de protection des données du Royaume-Uni va plus loin à cet égard, et précise quelles mesures techniques doivent concrètement être prises. Cette recommandation de l’ICO peut être consultée ici .

Le changement de fondement de la licéité du traitement

Le G29 rappelle à souhait que la base de licéité au sens de l’article 6 du GDPR ne peut pas être modifiée en cours de traitement. En règle générale, on ne peut donc, d’après lui, assigner qu’une seule base de licéité (le consentement ou le contrat ou l’intérêt légitime etc.) par finalité spécifique à l’exclusion d’une base multiple (le consentement et l’intérêt légitime etc.).

Par conséquent, le responsable de traitement ne peut pas, au gré de sa volonté et des circonstances, basculer entre les différentes bases légales. Par exemple, il n’est pas permis d’utiliser rétrospectivement la base d’intérêt légitime pour justifier le traitement, lorsque des problèmes ont été rencontrés quant à la validité du consentement. En d’autres termes, les responsables de traitement qui demandent le consentement d’une personne concernée à l’utilisation de données à caractère personnel ne peuvent en principe pas s’appuyer sur les autres bases légales de l’article 6 en tant que «back-up», soit qu’ils ne sont pas en mesure d’apporter la preuve du consentement, soit que le consentement ait été retiré.

Le consentement obtenu sous l’empire de la directive 95/46/EC

La question de savoir si les consentement récoltés valablement par les responsables de traitement pour les traitements en cours restent valables après l’entrée en vigueur du GDPR est une question importante au vu des conséquences pratiques que la réponse emporte. Les bases de données utilisées actuellement peuvent-elles continuer à être utilisées valablement, ou les responsables de traitement sont-ils dans l’obligation de redemander les consentements des personnes concernées, d’une manière conforme GDPR, afin de pouvoir continuer à traiter de manière licite leurs données personnelles ?

Cette problématique est adressée par le GDPR uniquement dans le cadre du considérant 171, qui précise que « Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement ».

Le G29 précise qu’il est important que les responsables de traitement examinent en détail les processus actuels  afin de s’assurer que les consentements existants respectent la norme GDPR.

La recommandation précise que, par exemple, étant donné que le GDPR exige qu’un responsable de traitement puisse démontrer qu’un consentement valide a été obtenu, tous les consentements présumés dont aucune référence n’est conservée seront automatiquement inférieurs à la norme de consentement du GDPR et devront être renouvelés. De même que le GDPR exige une “déclaration ou une action affirmative claire”, tous les consentements présumés qui reposaient sur une forme d’action implicite de la personne concernée (par exemple en ignorant une case d’adhésion pré-cochée) ne seront pas non plus conformes au standard de consentement GDPR.

Conclusion

Avec ces dernières Guidelines, le G29 refait le point sur certaines questions brûlantes auxquelles sont confrontés les praticiens au regard des nouvelles exigences spécifiques au consentement (comment documenter le consentement obtenu ? Comment mettre en place un consentement spécifique ? Que faire des consentements obtenus valablement sous l’empire de l’ancienne législation) et n’hésite pas à prendre position sur tout une série de difficultés. Certaines confirment d’anciennes interprétations, d’autres sont nouvelles et peuvent donner lieu à la critique. Un document à lire et relire par tous ceux qui sont impliqués dans l’implémentation du  GDPR.

Plus d’infos ?

En lisant la recommandation du Groupe 29, disponible en annexe.

Droit & Technologies

Annexes

Guidelines du Groupe 29 sur le consentement

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK