Afficher les considérants du Règlement liés à l'article 7 keyboard_arrow_down
Cacher les considérants du Règlement liés à l'article 7 keyboard_arrow_up
(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.
(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil1, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 7.
Guidelines
Ici viendront les guidelines
Le GDPR
On retrouve une définition du consentement à l’article 4, 11) du Règlement, fort proche de celle issue de la Directive : « toute manifestation de volonté, libre, spécifique, informée et non ambigüe par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement »
Ce faisant, le nouveau texte substitue le caractère non ambigu du consentement au caractère « indubitable » de l’article 7 a) Directive, ce qui n’apporte pas grand-chose. Par contre, la définition souligne le fait que le consentement doit consister en une déclaration ou un acte positif univoque, ce qui semble exclure un consentement tacite ou purement passif, fut-il circonstancié (cfr en ce sens considérant 32).
L’article 7 précise les conditions du consentement, ainsi défini.
Il précise d’abord que la charge de la preuve du consentement repose sur le responsable du traitement.
Le second paragraphe de l’article 7 précise également que si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres questions, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Cette nouvelle règle parait par exemple impliquer que le consentement à des conditions générales contenant une acceptation de traitement ne suffit pas pour y voir un consentement au sens du Règlement. A défaut, la déclaration n’est pas contraignante pour la personne concernée.
Une autre règle est généralisée : la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Le retrait ne permet donc pas d’invalider le traitement antérieur au retrait et ne vaudrait dès lors que pour le traitement futur. La personne concernée doit en être informée avant de donner son consentement. La version finale du Règlement précise que la personne concernée doit être en mesure de retirer son consentement aussi facilement qu’elle l’a donné.
Enfin, la version finale du Règlement ajoute un quatrième paragraphe à l’article 7 selon lequel l’appréciation du caractère libre du consentement de la personne concernée doit tenir le plus grand compte de la question de savoir si, entre autres, l’exécution du contrat, en ce compris la fourniture du service, est conditionnée par le consentement, alors que ce traitement n’est pas nécessaire pour l’exécution du contrat.
La Directive
L’article 2h de la Directive définissait le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L’article 7a de cette même Directive précise que pour offrir une base de licéité du traitement, le consentement doit avoir été donné « indubitablement ».
Belgique
La loi du 8 décembre 1992 définissait le consentement comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. En outre, l’article 5 de la loi reprend le caractère indubitable mentionné dans la Directive (article 7a), lorsque le traitement de données à caractère personnel se fonde sur le consentement de la personne concernée. Aucune obligation spécifique contenue dans la du 8 décembre 1992 n’imposait au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Toutefois, la loi belge exigeait dans certains cas que le consentement soit donné par écrit, comme lorsque le consentement sert de fondement au traitement de données sensibles (art. 6, § 2, a).
France
La loi Informatique et Libertés autorisait les traitements fondés sur le consentement de la personne concernée (article 7), mais ne contient de définition du consentement, pas plus qu’elle ne reprend le caractère indubitable de celui-ci, pourtant mentionné et définit dans la Directive. Aucune obligation spécifique contenue dans la Loi Informatique et Libertés n’impose au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Il doit toutefois s’assurer du consentement « exprès » de la personne concernée dans certaines hypothèses, comme pour déroger à l’interdiction de traiter des données à caractère sensible (art. 8, 1°).
Difficultés probables
Le sort des consentements implicites ou des silences circonstanciés est posé par la nouvelle définition du consentement issue du Règlement et il ne sera pas toujours facile de déterminer si la condition de « l’acte positif univoque » est remplie en pratique. L’absence d’opposition est par contre d’évidence exclue tout comme un simple silence.
Le responsable devra toujours s’aménager la preuve du consentement et donc, prévoir un archivage dans son processus de traitement.
Il faudra aussi revoir les processus de consentements existants afin de respecter les nouvelles conditions de l’article 7 qui obligent de plus en plus à considérer le consentement « vie privée » comme indépendant du consentement contractuel.