Traitement des données à caractère personnel : Conditions d’un consentement valable

Le règlement général sur la protection des données (RGPD ou GDPR) maintient le consentement de la personne concernée comme base juridique au traitement des données à caractère personnel. Toutefois, le consentement est assorti de conditions plus strictes.

 

Un consentement valable au sens du RGPD

Le règlement général sur la protection des données, applicable depuis le 25 mai 2018 définit le consentement comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des donnés à caractère personnel la concernant fassent l’objet d’un traitement ».[1]

Ainsi, un consentement au traitement des données à caractère personnel n’est valable que s’il est donné de façon libre, spécifique, éclairée et univoque.

 

Le consentement doit être libre

Un consentement libre implique que la personne concernée dispose d’un choix. En d’autres termes, il faut vérifier qu’il n’y a pas eu de contrainte dans la mesure où la personne concernée, à défaut de consentement, encourait le risque de subir des conséquences négatives.

Ainsi, si la conclusion d’un contrat est subordonnée à l’acceptation du traitement des données à des fins de marketing par exemple, le consentement n’est pas libre.

Dans ce contexte, il existe un débat quant à la question de savoir si la personne concernée peut réellement donner son consentement librement lorsqu’il existe un déséquilibre des rapports de force entre elle et le responsable du traitement. Sont notamment visées les hypothèses où le responsable du traitement est une autorité publique ou l’employeur de la personne concernée. Ces hypothèses sont en effet particulièrement délicates. Le critère déterminant permettant de trancher au cas par cas ces hypothèses est toujours la question de savoir si la personne concernée pourrait, en cas de refus de consentement, subir des conséquences négatives.

 

Le consentement doit être spécifique

Le consentement n’est valable que si la personne concernée a connaissance de la finalité du traitement ses données. Il incombe donc au responsable du traitement de décrire de manière détaillé la finalité du traitement à la personne concernée. Pour chaque finalité différente, un consentement différent est exigé.

 

Le consentement doit être éclairé

La personne concernée doit pouvoir prendre sa décision en connaissance de cause. Ainsi, le responsable de traitement doit fournir suffisamment d’informations concernant le traitement envisagé, notamment par rapport à l’identité du responsable de traitement, aux buts des traitements ou encore à la possibilité de pouvoir retirer le consentement à tout moment.

 

Le consentement doit être univoque

Enfin, le consentement valable de la personne concernée suppose une démarche active ou un acte positif clair de sa part. Le silence ou l’inactivité ne permet donc pas de conclure à un consentement valable.

 

La charge de la preuve

La charge de la preuve quant au respect de ces conditions repose sur le responsable du traitement. C’est donc à lui qu’il incombe de démontrer qu’un consentement valable a été obtenu aussi longtemps que le traitement perdure.

Toutefois, le règlement ne précise pas comment cette preuve doit être apportée.

 

Sources :

– Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 04.05.2016, p.1 – 88.

– VANDENBUSSCH D., Qu’est-ce qu’un consentement valable au sens du RGPD ? in site Jura – Actualités, 10.10.2018 [en ligne], https://jura.kluwer.be/secure/documentview.aspx?id=kl2265042&state=changed, consulté le 17.10.2018.


[1] Art. 4, 11) du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 04.05.2016, p.1 – 88.

Your Comment: