ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Le consentement au traitement des données à caractère personnel

Le consentement est l'un des éléments les plus importants du RGPD.
Catégories :

Le consentement est l'un des principaux éléments constitutifs du règlement général sur la protection des données (RGPD). En effet, le principe de base en matière de protection des données est que le traitement des données à caractère personnel est interdit. Sauf si le traitement est autorisé par une disposition légale. Les principales exceptions se trouvent à l'article 6, paragraphe 1 du RGPD - et ce n'est pas sans raison que le consentement est cité en premier lieu.

Consentement selon l'art. 4 n° 11 et l'art. 7 RGPD

En effet, selon l'article 6, paragraphe 1, point a), le traitement est licite lorsque la personne concernée a donné son consentement au traitement des données à caractère personnel la concernant pour une ou plusieurs finalités déterminées.

Les conditions d'un consentement légitime sont concrétisées à l'article 4, point 11, et à l'article 7 du RGPD.

Le consentement doit être libre

Cela signifie que la personne concernée doit avoir un choix réel et libre. Elle doit pouvoir refuser ou retirer son consentement à tout moment et sans subir de préjudice - voir également à cet égard le considérant 42 du RGPD.


Ce n'est généralement pas le cas lorsque l'exécution d'un contrat est subordonnée au consentement à un traitement de données qui n'est pas nécessaire à l'exécution du contrat (article 7, paragraphe 4, en liaison avec le considérant 43 du RGPD, interdiction de couplage).

En outre, le consentement ne constitue pas une base juridique valable lorsqu'il existe un déséquilibre clair entre la personne concernée et le responsable du traitement et qu'il est donc peu probable que le consentement ait été donné librement. Un déséquilibre peut par exemple exister vis-à-vis des autorités publiques ou, dans le cadre d'une relation de travail, vis-à-vis de l'employeur.

Une manifestation active de la volonté est nécessaire

Il faut que la personne concernée manifeste clairement sa volonté d'accepter le traitement. La forme écrite n'est pas requise. L'acte confirmatif peut également être effectué par voie électronique, par exemple en "cliquant" sur un champ sur Internet, ou oralement. Un comportement actif est toutefois requis.

Les cases pré-cochées ou la simple poursuite de l'utilisation d'un service ne suffisent pas, pas plus que le défilement d'un site web ou le balayage d'un smartphone ou d'une tablette. Le Comité européen de la protection des données estime qu'il n'en va pas de même pour la simple poursuite de l'utilisation d'un service.

Le consentement doit être donné en connaissance de cause

Le considérant 42 du RGPD insiste notamment sur le fait qu'une déclaration de consentement préformulée par le responsable du traitement doit être mise à disposition sous une forme compréhensible et aisément accessible, dans un langage clair et simple, et ne doit pas contenir de clauses ambiguës. De même, la personne concernée doit au moins être informée de l'identité du responsable et des finalités pour lesquelles ses données à caractère personnel seront traitées.

En outre, selon le Comité européen de la protection des données, la personne concernée doit être informée de la nature des données traitées, de son droit de retirer son consentement à tout moment, le cas échéant, de l'utilisation des données pour une prise de décision automatisée et des risques éventuels de transfert de données vers des pays tiers en l'absence d'une décision d'adéquation et de garanties appropriées conformément à l'article 46 du RGPD.

Conseil de lecture : Droit d'accès dans le RGPD - jurisprudence actuelle de la CJUE et lignes directrices de l'EDSA

Obligation du responsable de fournir des preuves

En vertu de l'article 7, paragraphe 1, du RGPD, le responsable du traitement est expressément tenu de pouvoir prouver que le consentement a été donné. Cette obligation est liée à l'obligation de rendre compte prévue à l'article 5, paragraphe 2, du RGPD. Cela ne s'applique pas seulement au sens d'une règle de la charge de la preuve lorsque l'existence d'un consentement est contestée, mais de manière générale.

La preuve des consentements donnés doit donc pouvoir être apportée même en cas de contrôle par les autorités de surveillance. Si le consentement est donné par voie électronique, le responsable doit s'assurer que le consentement est enregistré. Il ne suffit pas, par exemple, de se référer uniquement à la conception correcte du site web correspondant sans apporter la preuve, au cas par cas, du consentement effectivement donné.

Le responsable du traitement doit également veiller, par des mesures techniques et organisationnelles appropriées, à ce que les principes de protection des données, notamment l'obligation de rendre des comptes, soient mis en œuvre. Pour ce faire, il doit utiliser des systèmes techniques qui permettent une protection des données par la conception technique et par des paramètres par défaut favorables à la protection des données.

Droit de retirer son consentement

La personne concernée a le droit de révoquer son consentement à tout moment. La révocation prend effet pour l'avenir. Les traitements effectués dans le passé sur la base du consentement restent donc licites.

Le responsable du traitement doit indiquer que le consentement peut être retiré avant de le donner. La révocation doit être aussi simple que l'octroi du consentement. Les consentements donnés avant l'applicabilité du RGPD continuent à produire leurs effets en vertu de l'article 171 du RGPD, pour autant qu'ils répondent aux conditions du RGPD de par leur nature.

Conséquences d'un consentement non valable

Un consentement qui ne répond pas aux exigences présentées n'est pas valable et ne peut pas être utilisé comme base juridique pour un traitement de données.

Dans ce cas, fonder le traitement des données sur une autre base juridique, comme la sauvegarde des intérêts légitimes du responsable du traitement ou d'un tiers (article 6, paragraphe 1, point f) du RGPD), est en principe interdit. En effet, le responsable doit respecter les principes d'équité et de transparence (article 5, paragraphe 1, point a) du RGPD). Il n'est pas possible de passer arbitrairement du consentement à d'autres bases juridiques.

Si le consentement s'avère inefficace ou si le responsable du traitement ne peut pas prouver l'existence du consentement, le traitement des données fondé sur ce consentement est illégal.

Les infractions aux principes du traitement, y compris les conditions de consentement, peuvent être sanctionnées par l'autorité de contrôle compétente par une amende, conformément à l'article 83, paragraphe 5, point a) du RGPD. En outre, selon les circonstances du cas d'espèce, des demandes de dommages et intérêts de la personne concernée peuvent également être envisagées. 

Source : Document de synthèse de la Conférence des autorités indépendantes de protection des données de la Fédération et des Länder (DSK) 

Les tags :
Partager ce post :
fr_FRFrench