Article 7
Conditions applicables au consentement

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 7 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 7 keyboard_arrow_up

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil1, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 7.

Le GDPR

On retrouve une définition du consentement à l’article 4, 11) du Règlement, fort proche de celle issue de la Directive : « toute manifestation de volonté, libre, spécifique, informée et non ambigüe par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement »

Ce faisant, le nouveau texte substitue le caractère non ambigu du consentement au caractère « indubitable » de l’article 7 a) Directive, ce qui n’apporte pas grand-chose. Par contre, la définition souligne le fait que le consentement doit consister en une déclaration ou un acte positif univoque, ce qui semble exclure un consentement tacite ou purement passif, fut-il circonstancié (cfr en ce sens considérant 32).

L’article 7 précise les conditions du consentement, ainsi défini.

Il précise d’abord que la charge de la preuve du consentement repose sur le responsable du traitement.

Le second paragraphe de l’article 7 précise également que si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres questions, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Cette nouvelle règle parait par exemple impliquer que le consentement à des conditions générales contenant une acceptation de traitement ne suffit pas pour y voir un consentement au sens du Règlement. A défaut, la déclaration n’est pas contraignante pour la personne concernée.

Une autre règle est généralisée : la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Le retrait ne permet donc pas d’invalider le traitement antérieur au retrait et ne vaudrait dès lors que pour le traitement futur. La personne concernée doit en être informée avant de donner son consentement. La version finale du Règlement précise que la personne concernée doit être en mesure de retirer son consentement aussi facilement qu’elle l’a donné.

Enfin, la version finale du Règlement ajoute un quatrième paragraphe à l’article 7 selon lequel l’appréciation du caractère libre du consentement de la personne concernée doit tenir le plus grand compte de la question de savoir si, entre autres, l’exécution du contrat, en ce compris la fourniture du service, est conditionnée par le consentement, alors que ce traitement n’est pas nécessaire pour l’exécution du contrat.

La Directive

L’article 2h de la Directive définissait le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L’article 7a de cette même Directive précise que pour offrir une base de licéité du traitement, le consentement doit avoir été donné « indubitablement ».

Belgique

La loi du 8 décembre 1992 définissait le consentement comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. En outre, l’article 5 de la loi reprend le caractère indubitable mentionné dans la Directive (article 7a), lorsque le traitement de données à caractère personnel se fonde sur le consentement de la personne concernée. Aucune obligation spécifique contenue dans la du 8 décembre 1992 n’imposait au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Toutefois, la loi belge exigeait dans certains cas que le consentement soit donné par écrit, comme lorsque le consentement sert de fondement au traitement de données sensibles (art. 6, § 2, a).

Difficultés probables ?

Le sort des consentements implicites ou des silences circonstanciés est posé par la nouvelle définition du consentement issue du Règlement et il ne sera pas toujours facile de déterminer si la condition de « l’acte positif univoque » est remplie en pratique. L’absence d’opposition est par contre d’évidence exclue tout comme un simple silence.

Le responsable devra toujours s’aménager la preuve du consentement et donc, prévoir un archivage dans son processus de traitement.

Il faudra aussi revoir les processus de consentements existants afin de respecter les nouvelles conditions de l’article 7 qui obligent de plus en plus à considérer le consentement « vie privée » comme indépendant du consentement contractuel.

Sommaire

Union Européenne

Belgique

Union Européenne

Comité européen de la protection des données

Lignes directrices sur le consentement au sens du règlement (UE) 2016/679 - 5/2020 (4 mai 2020)

Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le «RGPD». La notion de consentement telle qu’utilisée jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 du groupe de travail «Article 29» sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD.2 Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.

 En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

 Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement4 restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi l’EDPB développe-t-il et complète-t-il dans le présent document ses avis précédents du groupe de travail «Article 29» relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.

Comme le G29 l’a indiqué dans son avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée . Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment en son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.

Dans le même temps, l’EDPB a eu connaissance de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD . En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. L’EDPB a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».

 Concernant la directive «vie privée et communications électroniques» existante, l’EDPB note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD9 . Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. L’EDPB note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».

Lien

Retour au sommaire

Groupe 29

Lignes directrices sur le consentement au sens du règlement 2016/679 - wp259rev.01 (10 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement 2016/679, également connu sous le nom de règlement général sur la protection des données (ci-après le «RGPD»). Le concept de consentement tel qu’utilisé jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu'énumérées à l’article 6 du RGPD. Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.

En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement3 restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi le G29 développe-t-il et complète-t-il dans le présent document ses avis précédents relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.

Comme indiqué dans l’avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée. Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment dans son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.

Dans le même temps, le G29 est conscient de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD. En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. Le G29 a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».

Concernant la directive «vie privée et communications électroniques» existante, le G29 note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD. Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. Le G29 note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».

Lien

CNIL

Guidelines "cookies et autres traceurs"

Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

Lien

Retour au sommaire

Belgique

Belgique: Autorité de protection des données

Recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct - 1/2020 (17 janvier 2020)

La présente recommandation a pour objet d’aider les responsables de traitement recourant à des techniques de marketing direct (ou y participant) à acquérir les bons réflexes afin d’agir en conformité avec les règles du RGPD applicables. Elle examine dès lors les questions fréquemment posées relatives à la protection des données à caractère personnel dans le cadre du marketing direct.

La Recommandation tient également compte, le cas échéant, de la multitude d’acteurs pouvant interagir avec les responsables de traitement mais s’adresse principalement à ces derniers. La Recommandation ne se limite pas aux seules communications réalisées dans le cadre du marketing direct mais examine également l’ensemble des traitements de données à caractère personnel réalisés à cette fin et les règles qui s’y appliquent.

Les règles, concepts et principes développés dans cette Recommandation le sont sur la base du RGPD et ne tiennent pas compte d’autres législations applicables. La Recommandation n’a cependant pas non plus vocation à être une étude exhaustive du RGPD. Cela ne signifie pas que les responsables du traitement effectuant des traitements de donnés pour des finalités de marketing direct sont dispensés du respect de l’ensemble des règles qui leurs sont applicables, en ce compris celles édictées par le RGPD et qui ne font pas l’objet de l’examen fourni par cette recommandation, tel que le respect de l’ensemble des droits accordés aux personnes concernées prévus aux articles 12 à 22 du RGPD ou encore en matière de transferts internationaux tels qu’encadrés par le Chapitre V du RGPD.

Les points examinés sont illustrés par des situations propres au marketing direct. Chaque exemple n’implique pas pour autant un examen approfondi et exhaustif des différentes questions ou problèmes de conformité au RGPD.

La Recommandation fait également état de certaines sanctions adoptées par les Autorités de protection des données en la matière. Certaines de ces décisions sont toutefois susceptibles d’appel ou autres voies de recours au moment de l’adoption de la Recommandation. Ces décisions sont donc susceptibles d’être révisées, le cas échéant.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-673/17 (1er octobre 2019) - Planet49

1.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

2.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 2, sous h), de la directive 95/46 ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

3.      L’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Conclusions de l'Avocat général

Arrêt rendu

C-708/18 (11 décembre 2019) - Asociaţia de Proprietari bloc M5A-ScaraA

L’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.

Arrêt rendu

Retour au sommaire

Belgique

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°434684 (19 juin 2020)

1. Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données.

En particulier, si l'éditeur d'un site qui dépose des cookies doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de cookies mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre.

Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

2. Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre.

Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

3. Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait être aussi facile de refuser ou de retirer son consentement que de le donner , s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

4. a) Il résulte de l'économie générale de la loi n° 78-17 du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la Commission nationale de l'informatique et des libertés (CNIL) est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).

5. a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.

b) Par suite, la CNIL était compétente pour adopter des lignes directrices applicables, de manière générale, aux cookies et autres traceurs de connexion.

La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des cookies walls , qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.

Arrêt rendu

CE Fr., n°449209 (28 janvier 2022)

Sur les manquements aux obligations en matière de cookies :

16. Il résulte de l'instruction que, dans le cadre du contrôle en ligne effectué le 16 mars 2020 sur le site internet " google.fr ", il a été constaté que, lorsqu'un utilisateur se rendait sur la page " google.fr ", sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Lors de l'arrivée sur la page " google.fr ", un bandeau d'information s'affichait en pied de page, contenant la mention " Rappel concernant les règles de confidentialité de Google ", en face de laquelle figuraient deux boutons intitulés " Me le rappeler plus tard " et " Consulter maintenant ". En cliquant sur le bouton " Consulter maintenant ", l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton " autres options ".

17. Postérieurement à l'engagement de la procédure de sanction, les sociétés requérantes ont mis à jour leur système, à compter du 17 août 2020, de telle sorte que, depuis le 10 septembre 2020, l'utilisateur arrivant sur la page " google.fr " voit désormais d'afficher, au milieu de son écran avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée " Avant de continuer ", qui contient une information préalable sur l'utilisation de cookies par Google et comporte deux boutons intitulés " Plus d'informations " et " J'accepte ". Toutefois, les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer.

18. Par ailleurs, il résulte également de l'instruction que, sur les sept cookies automatiquement déposés sur le terminal de l'utilisateur lors du contrôle du 16 mars 2020, quatre poursuivaient une finalité publicitaire et n'avaient ainsi pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ni n'étaient strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. A la suite de la mise à jour effectuée à compter du 17 août 2020, postérieurement à l'engagement de la procédure de sanction, il n'est plus procédé au dépôt automatique de cookies publicitaires dès l'arrivée de l'utilisateur sur la page " google.fr ". Malgré la désactivation de la personnalisation des annonces par l'utilisateur, au moins un cookie ne relevant pas de la catégorie des cookies dits " d'opposition " demeurait stocké sur le terminal de l'utilisateur. La société Google Ireland Limited, qui a elle-même reconnu au cours de la procédure de sanction que ce cookie avait une finalité publicitaire, n'a pas apporté d'éléments probants établissant qu'il aurait eu en pratique pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou aurait été nécessaire à la fourniture du service à la demande de l'utilisateur.

19. Il résulte des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 6 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer. C'est à bon droit que, par une décision suffisamment motivée sur ce point et non entachée d'erreur d'appréciation, la formation restreinte de la CNIL a retenu que les faits exposés aux points précédents caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies, tels que prévus par l'article 82 de la loi du 6 janvier 1978.

20. Si les sociétés requérantes invoquent le principe de légalité des délits et des peines et les principes de sécurité juridique et de confiance légitime, en soutenant que le cadre juridique applicable aux cookies n'aurait pas été consolidé à la date de la décision attaquée, il résulte de l'instruction qu'après l'entrée en application, le 25 mai 2018, du règlement du 27 avril 2016 (RGPD), la CNIL a, par une délibération en date du 4 juillet 2019, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et a abrogé sa recommandation antérieure du 5 décembre 2013. Afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, la CNIL a, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL à l'encontre des deux sociétés ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, ni, en tout état de cause, les principes de sécurité juridique et de confiance légitime, engager une procédure de contrôle et de sanction quant au respect, par les sociétés requérantes, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

Lien 

Retour au sommaire
Règlement
1e 2e

Art. 7

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer son consentement que de le donner.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de donnés à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Proposition 1 close

1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné.

4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.

Proposition 2 close

1. Dans les cas où l'article 6, paragraphe 1, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement sans ambiguïté.

1 bis. Dans les cas où l'article 9, paragraphe 2, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement explicite.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres affaires, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement (…) de ces autres affaires, d'une façon compréhensible et facilement accessible, en des termes clairs et simples.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. La personne concernée en est informée avant de donner son consentement.

4. (...)

Directive close

Art. 7

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou (….).

Aucune disposition spécifique

Ancienne loi close

Art. 5.

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :

  a) lorsque la personne concernée a indubitablement donné son consentement;

(…)

close