Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 12/07/17 | 4 min. | Florence Chafiol Stéphanie Lapeyre
Un traitement de données à caractère personnel, pour être licite, doit respecter l’une des six bases légales fixées par le Règlement européen 2016/679 sur la protection des données personnelles (« RGPD »). Ce Règlement reprend quasiment à l’identique les six bases légales de traitement déjà listées au sein de la Directive 95/46/CE et vient entériner les interprétations faites sur le sujet par la CNIL et le G29. Dès le 25 mai 2018, les responsables de traitement devront en outre indiquer aux personnes concernées sur quelle base légale repose le traitement de données mis en place. Il leur appartiendra donc d’anticiper la question afin de connaitre, pour chaque traitement, la base légale qui justifie ledit traitement ainsi que les obligations et conséquences qui en découlent.
Compte tenu de l’existence de ces six bases légales, le consentement de la personne concernée ne sera donc pas systématiquement requis pour permettre un traitement de données à caractère personnel. En revanche, lorsque la base légale sera le consentement, le RGPD définit strictement les conditions de celui-ci. Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Les conditions de validité du consentement sont ainsi les suivantes :
- Un acte positif clair et univoque : Le consentement doit relever d’un comportement actif de la personne concernée et ne doit pas pouvoir laisser place à l’incertitude ou l’ambigüité.
- Un consentement libre : Il faut (i) que la personne concernée dispose d’une véritable liberté de choix lui permettant de refuser ou de retirer son consentement sans subir de préjudice ; (ii) qu’il n’y ait pas de déséquilibre manifeste entre la personne concernée et le responsable du traitement (par exemple un lien de subordination entre un employé et un employeur) ; (iii) que le consentement soit donné pour une finalité précise (un consentement ne doit pas être donné pour plusieurs finalités alors qu’un consentement distinct par finalité aurait été envisageable) ; et (iv) que l’exécution d’un contrat ne soit pas subordonnée au consentement lorsque celui-ci n’est pas nécessaire à une telle exécution.
- Un consentement spécifique : Dans l’hypothèse où le consentement est demandé dans un document regroupant plusieurs informations/questions, il convient de distinguer la partie relative à la demande de consentement sous une forme aisément accessible et formulée en des termes clairs et simples (distinction entre le consentement à un traitement de données et le consentement à des CGU par exemple).
- Un consentement éclairé : Le consentement ne doit être donné qu’après que la personne concernée ait reçu les informations nécessaires lui permettant de décider en connaissance de cause.
La forme du consentement
Le consentement des mineurs
Le RGPD prévoit qu’il est nécessaire de recueillir le consentement ou l’autorisation « du titulaire de la responsabilité parentale » pour les enfants âgés de moins de 16 ans (cet âge limite pouvant être abaissé à 13 ans dans certains Etats) amenés à transmettre leurs données personnelles dans le cadre de la fourniture de services en ligne (inscription sur un réseau social par exemple).
Le texte prévoit que les responsables de traitement devront s’efforcer « raisonnablement de vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».
La France devra se positionnera sur ce sujet lors de la modification de la réglementation actuelle pour tenir compte du RGPD.
Le retrait du consentement
Le consentement doit pouvoir être retiré simplement à tout moment étant précisé que ce retrait n’aura pas pour effet de compromettre la licéité du traitement qui serait fondé sur le consentement avant ledit retrait.
La personne concernée doit être informée de cette faculté de retrait avant de donner son consentement.