Dans une précédente actualité, nous vous parlions du fait que le placement de cookies requiert le consentement actif des internautes. Or, selon la Cour de justice de l’Union européenne (CJUE) (Planet49, C-673/17), une case pré-cochée par défaut ne permet pas aux internautes de fournir un consentement juridiquement valable au sens du RGPD.
C’est conformément à cette décision que la CJUE s’est prononcée dans un arrêt de ce 11 novembre 2020.
Faits
Orange România fournit des services de télécommunications mobiles sur le marché roumain. Pour ce faire, Orange conclut notamment des contrats de fourniture de services. Ces contrats contiennent une clause stipulant que les clients ont été informés et ont consenti à la collecte et à la conservation d’une copie de leurs documents d’identité à des fins d’identification. La case relative à cette clause avait, toutefois, déjà été cochée par Orange avant que les clients ne procèdent à la signature du contrat.
En mars 2018, l’Autorité de contrôle roumaine a prononcé une sanction administrative à l’encontre d’Orange pour avoir collecté et conservé des copies de titres d’identité de ses clients sans le consentement exprès de ces derniers. L’autorité de contrôle roumaine estimait en effet qu’Orange ne parvenait pas à démontrer que ses clients avaient donné leur consentement valable concernant ces traitements de données.
Orange a introduit un recours en justice contre cette décision. La juridiction de renvoi a alors décidé de surseoir à statuer et de poser à la CJUE plusieurs questions préjudicielles.
Décision de la CJUE
Dans la présente affaire, la Cour était invitée à préciser les conditions dans lesquelles le consentement au traitement de données à caractère personnel peut être considéré comme valable.
Elle a ainsi profité de l’occasion pour rappeler certains principes.
Le consentement comme condition préalable au traitement des données à caractère personnel
Pour être licite, tout traitement de données à caractère personnel « classiques » doit reposer sur une des bases légales prévues à l’article 6 du RGPD.
L’existence du consentement de la personne concernée constitue l’une de ces bases légales.
Sur la notion de consentement
En résumé, pour qu’il soit valable au sens du RGPD, le consentement requis :
– une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée
– prenant la forme d’une déclaration ou d’un « acte positif clair ».
Un consentement actif de la personne concernée est donc exigé.
Selon le considérant 32 du RGPD, l’expression du consentement peut, par exemple, se faire en cochant une case lors de la consultation d’un site Internet. En revanche, cela ne pourrait pas se faire en cas de cases cochées par défaut.
En effet, dans une telle hypothèse, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles. Dit autrement, le fait qu’un internaute n’ait pas décoché une case cochée par défaut ne permet pas de déterminer si celui-ci a consenti au traitement de ses données.
En l’espèce, la CJUE a jugé qu’un contrat de fourniture de services qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens du RGPD, à cette collecte et à cette conservation, lorsque :
- la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, mais également lorsque
- le contenu du contrat est susceptible d’induire la personne concernée en erreur quant à la possibilité de conclure ledit contrat en cas de refus du traitement de ses données, ou lorsque
- le libre choix de s’opposer à cette collecte et à cette conservation est affecté par le responsable, lorsque le refus de donner son consentement est conditionné par l’obligation de remplir un formulaire faisant état de ce refus.
La charge de la preuve
Enfin, la Cour finit par rappeler que la charge de la preuve incombe au responsable du traitement.
Partant, il appartient à ce dernier de démontrer que la personne concernée a :
- par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel ; et
- obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement. Cette information doit, en outre, être communiquée sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples. La personne concernée doit facilement comprendre les conséquences de ce consentement.
Our advice:
En tant que responsable du traitement, vous devez vous assurer que les traitements de données à caractère personnel que vous réalisez sont licites. Vous devez également être en mesure de le démontrer.
Lorsque vous justifiez le traitement de certaines données sur base du consentement de la personne concernée, vous devez donc veiller à ce que ce consentement soit valable au sens du RGPD.
L’usage de cases pré-cochées (encore trop souvent présentes sur les sites Internet de responsables du traitement) est donc à proscrire. Si vous voulez en savoir plus, n’hésitez pas à visionner le replay de notre formation earlegal « Cookies, comment ne pas commettre de faux pas ? ».