arrow_back Retour à tous les articles

Article 7
Conditions applicables au consentement

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 7 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 7 keyboard_arrow_up

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil1, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 7.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 2h de la Directive définissait le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L’article 7a de cette même Directive précise que pour offrir une base de licéité du traitement, le consentement doit avoir été donné « indubitablement ».

Belgique

La loi du 8 décembre 1992 définissait le consentement comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. En outre, l’article 5 de la loi reprend le caractère indubitable mentionné dans la Directive (article 7a), lorsque le traitement de données à caractère personnel se fonde sur le consentement de la personne concernée. Aucune obligation spécifique contenue dans la du 8 décembre 1992 n’imposait au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Toutefois, la loi belge exigeait dans certains cas que le consentement soit donné par écrit, comme lorsque le consentement sert de fondement au traitement de données sensibles (art. 6, § 2, a).

France

La loi Informatique et Libertés autorisait les traitements fondés sur le consentement de la personne concernée (article 7), mais ne contient de définition du consentement, pas plus qu’elle ne reprend le caractère indubitable de celui-ci, pourtant mentionné et définit dans la Directive. Aucune obligation spécifique contenue dans la Loi Informatique et Libertés n’impose au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Il doit toutefois s’assurer du consentement « exprès » de la personne concernée dans certaines hypothèses, comme pour déroger à l’interdiction de traiter des données à caractère sensible (art. 8, 1°).

Où va-t-on ?

On retrouve une définition du consentement à l’article 4, 11) du Règlement, fort proche de celle issue de la Directive : « toute manifestation de volonté, libre, spécifique, informée et non ambigüe par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement »

Ce faisant, le nouveau texte substitue le caractère non ambigu du consentement au caractère « indubitable » de l’article 7 a) Directive, ce qui n’apporte pas grand-chose. Par contre, la définition souligne le fait que le consentement doit consister en une déclaration ou un acte positif univoque, ce qui semble exclure un consentement tacite ou purement passif, fut-il circonstancié (cfr en ce sens considérant 32).

L’article 7 précise les conditions du consentement, ainsi défini.

Il précise d’abord que la charge de la preuve du consentement repose sur le responsable du traitement.

Le second paragraphe de l’article 7 précise également que si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres questions, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Cette nouvelle règle parait par exemple impliquer que le consentement à des conditions générales contenant une acceptation de traitement ne suffit pas pour y voir un consentement au sens du Règlement. A défaut, la déclaration n’est pas contraignante pour la personne concernée.

Une autre règle est généralisée : la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Le retrait ne permet donc pas d’invalider le traitement antérieur au retrait et ne vaudrait dès lors que pour le traitement futur. La personne concernée doit en être informée avant de donner son consentement. La version finale du Règlement précise que la personne concernée doit être en mesure de retirer son consentement aussi facilement qu’elle l’a donné.

Enfin, la version finale du Règlement ajoute un quatrième paragraphe à l’article 7 selon lequel l’appréciation du caractère libre du consentement de la personne concernée doit tenir le plus grand compte de la question de savoir si, entre autres, l’exécution du contrat, en ce compris la fourniture du service, est conditionnée par le consentement, alors que ce traitement n’est pas nécessaire pour l’exécution du contrat.

Difficultés probables

Le sort des consentements implicites ou des silences circonstanciés est posé par la nouvelle définition du consentement issue du Règlement et il ne sera pas toujours facile de déterminer si la condition de « l’acte positif univoque » est remplie en pratique. L’absence d’opposition est par contre d’évidence exclue tout comme un simple silence.

Le responsable devra toujours s’aménager la preuve du consentement et donc, prévoir un archivage dans son processus de traitement.

Il faudra aussi revoir les processus de consentements existants afin de respecter les nouvelles conditions de l’article 7 qui obligent de plus en plus à considérer le consentement « vie privée » comme indépendant du consentement contractuel.

Règlement
1e 2e

Art. 7

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer son consentement que de le donner.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de donnés à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Proposition 1 close

1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné.

4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.

Proposition 2 close

1. Dans les cas où l'article 6, paragraphe 1, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement sans ambiguïté.

1 bis. Dans les cas où l'article 9, paragraphe 2, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement explicite.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres affaires, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement (…) de ces autres affaires, d'une façon compréhensible et facilement accessible, en des termes clairs et simples.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. La personne concernée en est informée avant de donner son consentement.

4. (...)

Directive

Art. 7

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou (….).

France

Art. 7.

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

(….)

 

Belgique

Art. 5.

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :

  a) lorsque la personne concernée a indubitablement donné son consentement;

(…)

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK