Constituant l’une des bases légales prévues par le RGPD sur lesquelles peut se fonder un traitement de données personnelles, le consentement est une pièce maîtresse du règlement européen. Gros plan sur ce dispositif majeur.

Déjà inscrit dans la loi Informatique et Libertés (1978), le consentement est l’une des six bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Il se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Quatre critères cumulatifs pour le consentement

Pour être valide, le consentement doit cumuler quatre critères. Il doit en effet être :

• Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

• Spécifique: un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Si un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

• Éclairé : le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé : l’identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement et, selon les cas, le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

• Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques : les cases pré-cochées ou pré-activées, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement).

Consentement : un renforcement grâce au RGPD

Le RGPD n’a pas fondamentalement modifié la notion de consentement. Il a cependant clarifié sa définition et l’a renforcé, ajoutant certains droits et garanties :

• Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).
• Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Les responsables du traitement doivent par conséquent documenter les conditions de recueil du consentement afin d’être en mesure de démontrer :

• La mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre »)
• La séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité du consentement »)
• La bonne information des personnes (consentement « éclairé »)
• Le caractère positif de l’expression du choix de la personne (consentement « univoque »)

Une des six bases légales autorisant les traitements de données

Le consentement fait partie des six bases légales autorisant un organisme à traiter des données à caractère personnel. Les cinq autres bases légales sont :

• Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
• L’obligation légale : le traitement est imposé par des textes légaux ;
• La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• L’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
• La sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Le RGPD ne crée pas de hiérarchie entre les différentes bases légales. Par exemple, le consentement ne prévaut pas sur les autres. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement, au cas par cas.

Les dispositifs « Consentir ou payer » sont-ils conformes ?

De plus en plus de sites web et de grandes plateformes Web proposent à leurs visiteurs d’accepter l’intégralité de leurs cookies ou de payer un abonnement (ou une somme fixe) en cas de refus. L’enjeu pour elles est de pouvoir diffuser des campagnes publicitaires comportementales dont les cookies sont les piliers. Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du consentement dans ce contexte. Cet avis fait suite à une demande formulée par les autorités de protection des données néerlandaise, norvégienne et hambourgeoise.

Le CEPD met en avant la nécessité pour les grandes plateformes de donner un véritable choix aux utilisateurs, ce qui implique que l’alternative payante ne devrait pas être considérée comme la voie à suivre par défaut. Il précise que, dans la plupart des cas, il ne leur sera pas possible de respecter les exigences relatives à un consentement valable si les utilisateurs se voient proposer seulement un choix binaire entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’une redevance.

L’avis invite donc fortement les grandes plateformes à proposer une alternative supplémentaire qui devrait être gratuite et dépourvue de publicité comportementale (par exemple la publicité contextuelle). Dans son avis, le CEPD précise les critères à prendre en compte pour l’obtention d’un consentement libre et, en particulier, l’absence de déséquilibre des pouvoirs. Par exemple, le CEPD souligne que les frais facturés ne doivent pas obliger les personnes à donner leur consentement. Les responsables du traitement doivent évaluer, au cas par cas, si un paiement est approprié en tenant compte notamment de leur position sur le marché, de la mesure dans laquelle la personne dépend du service et du public principal du service.