Données personnelles, case pré-cochée et validité du consentement : piqûre de rappel de la CJUE

Données personnelles, case pré-cochée et validité du consentement : piqûre de rappel de la CJUE

Dans la lignée de son arrêt Planet49, la Cour de Justice de l’Union européenne réaffirme le comportement actif de la part de la personne concernée en vue de manifester son consentement, ce que ne permettrait pas une case pré-cochée par le responsable du traitement. Elle en profite pour rappeler aux responsables du traitement l’importance pour eux de pouvoir démontrer que les consentements ont été valablement recueillis.

Les faits :

Au départ, le litige oppose Orange România, une société fournissant des services de télécommunications mobiles en Roumanie et l’ANSPDCP, l’autorité de protection des données roumaines. Selon l’autorité roumaine, pendant le mois de mars 2018, la société Orange România aurait récolté et conservé les copies des titres d’identité de ses clients sans le consentement exprès de ces derniers. En effet, la société de télécommunications insérait dans ses contrats de fournitures de services des clauses selon lesquels les clients étaient informés et avaient consenti à la collecte et la conservation d’une copie de leur titre d’identité à des fins d’identification. Toutefois, la case relative à cette clause du contrat était déjà pré-cochée. 

Pour cette raison, l’autorité roumaine a décidé de sanctionner l’entreprise en lui infligeant une amende administrative. Bien décider de voir réviser cette décision, la société Orange România a contesté la décision de l’ANSPDCP devant le Tribunal de Grande Instance de Bucarest. Saisi de la question, le Tribunal a demandé à la Cour de Justice de l’Union européenne de préciser les conditions dans lesquelles le consentement des clients au traitement de données à caractère personnel peut être considéré comme valable.

La notion de consentement

Au cours de son arrêt, la Cour du Justice de l’Union européenne rappelle que le consentement donné par la personne concernée doit être libre, spécifique, éclairé et univoque. Cette manifestation de la volonté doit prendre la forme d’un acte positif clair. Il ne peut en aucun cas être déduit en cas de silence, de cases cochées par défaut ou d’inactivité.

Ensuite, elle va se pencher sur le caractère « spécifique », « informé » et « librement exprimé » que doit revêtir le consentement pour être considéré comme valable au regard du Règlement.

Afin que le consentement soit spécifique, il doit porter précisément sur le traitement de données en question. De plus, lorsque le consentement émane d’une déclaration écrite, la demande de consentement doit être présenté sous une forme qui la distingue clairement. Elle doit être compréhensible, aisément accessible et être formulé en des termes clairs et simples.

Le caractère « informé », quant à lui, découle des informations sur le traitement fournie à la personne concernée. Le responsable du traitement a une obligation d’apporter une série d’information dont les types de données traitées, la finalité du traitement et la durée de conservation et ce, de manière compréhensible, aisément accessible et formulé en des termes clairs et simples. Ainsi, la personne concernée pourra déterminer facilement les conséquences du consentement qu’elle donnera.

Enfin, afin que la personne ait une véritable liberté de choix, les stipulations contractuelles ne doivent pas l’induire en erreur quant à la possibilité de conclure le contrat même si elle refuse de consentir au traitement de ses données.

En l’espèce, la Cour a considéré qu’un contrat relatif à la fourniture de services de télécommunication qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte et à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement à cette collecte et à cette conservation, lorsque :

  1. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat ;
  2. Les stipulations contractuelles de ce contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données ou, lorsque;
  3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en ce qu’il exige de la personne concernée qu’elle remplisse, afin d’exprimer son refus de donner son consentement à ces traitements, un formulaire supplémentaire faisant état d’un tel refus

Consentement et Accountability

La Cour est revenue sur l’importance pour le responsable du traitement de pouvoir démontrer la licéité du traitement et de ce fait, de démontrer que la personne concernée a valablement donné son consentement. En effet, le principe d’Accountability est au cœur du RGPD et exige que les entreprises mettent en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il appartenait donc, à la société Orange România, en tant que responsable du traitement des données, d’établir que ses clients ont, par un comportement actif, manifesté leur consentement au traitement de leurs données à caractère personnel.