Article 7
Conditions applicables au consentement

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 7 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 7 keyboard_arrow_up

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil1, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 7.

Le GDPR

On retrouve une définition du consentement à l’article 4, 11) du Règlement, fort proche de celle issue de la Directive : « toute manifestation de volonté, libre, spécifique, informée et non ambigüe par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement »

Ce faisant, le nouveau texte substitue le caractère non ambigu du consentement au caractère « indubitable » de l’article 7 a) Directive, ce qui n’apporte pas grand-chose. Par contre, la définition souligne le fait que le consentement doit consister en une déclaration ou un acte positif univoque, ce qui semble exclure un consentement tacite ou purement passif, fut-il circonstancié (cfr en ce sens considérant 32).

L’article 7 précise les conditions du consentement, ainsi défini.

Il précise d’abord que la charge de la preuve du consentement repose sur le responsable du traitement.

Le second paragraphe de l’article 7 précise également que si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres questions, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Cette nouvelle règle parait par exemple impliquer que le consentement à des conditions générales contenant une acceptation de traitement ne suffit pas pour y voir un consentement au sens du Règlement. A défaut, la déclaration n’est pas contraignante pour la personne concernée.

Une autre règle est généralisée : la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Le retrait ne permet donc pas d’invalider le traitement antérieur au retrait et ne vaudrait dès lors que pour le traitement futur. La personne concernée doit en être informée avant de donner son consentement. La version finale du Règlement précise que la personne concernée doit être en mesure de retirer son consentement aussi facilement qu’elle l’a donné.

Enfin, la version finale du Règlement ajoute un quatrième paragraphe à l’article 7 selon lequel l’appréciation du caractère libre du consentement de la personne concernée doit tenir le plus grand compte de la question de savoir si, entre autres, l’exécution du contrat, en ce compris la fourniture du service, est conditionnée par le consentement, alors que ce traitement n’est pas nécessaire pour l’exécution du contrat.

La Directive

L’article 2h de la Directive définissait le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L’article 7a de cette même Directive précise que pour offrir une base de licéité du traitement, le consentement doit avoir été donné « indubitablement ».

Belgique

La loi du 8 décembre 1992 définissait le consentement comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. En outre, l’article 5 de la loi reprend le caractère indubitable mentionné dans la Directive (article 7a), lorsque le traitement de données à caractère personnel se fonde sur le consentement de la personne concernée. Aucune obligation spécifique contenue dans la du 8 décembre 1992 n’imposait au responsable du traitement de conserver la preuve du consentement de la personne dans les cas où celui-ci est requis. Toutefois, la loi belge exigeait dans certains cas que le consentement soit donné par écrit, comme lorsque le consentement sert de fondement au traitement de données sensibles (art. 6, § 2, a).

Difficultés probables ?

Le sort des consentements implicites ou des silences circonstanciés est posé par la nouvelle définition du consentement issue du Règlement et il ne sera pas toujours facile de déterminer si la condition de « l’acte positif univoque » est remplie en pratique. L’absence d’opposition est par contre d’évidence exclue tout comme un simple silence.

Le responsable devra toujours s’aménager la preuve du consentement et donc, prévoir un archivage dans son processus de traitement.

Il faudra aussi revoir les processus de consentements existants afin de respecter les nouvelles conditions de l’article 7 qui obligent de plus en plus à considérer le consentement « vie privée » comme indépendant du consentement contractuel.

Groupe 29

Lignes directrices sur le consentement au sens du règlement 2016/679 (10 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement 2016/679, également connu sous le nom de règlement général sur la protection des données (ci-après le «RGPD»). Le concept de consentement tel qu’utilisé jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu'énumérées à l’article 6 du RGPD. Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.

En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement3 restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi le G29 développe-t-il et complète-t-il dans le présent document ses avis précédents relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.

Comme indiqué dans l’avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée. Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment dans son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.

Dans le même temps, le G29 est conscient de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD. En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. Le G29 a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».

Concernant la directive «vie privée et communications électroniques» existante, le G29 note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD. Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. Le G29 note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».

Lien

Règlement
1e 2e

Art. 7

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer son consentement que de le donner.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de donnés à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Proposition 1 close

1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné.

4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.

Proposition 2 close

1. Dans les cas où l'article 6, paragraphe 1, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement sans ambiguïté.

1 bis. Dans les cas où l'article 9, paragraphe 2, point a), est applicable, le responsable du traitement est capable de démontrer que la personne concernée a donné un consentement explicite.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également d'autres affaires, la demande relative au consentement doit être présentée sous une forme qui la distingue clairement (…) de ces autres affaires, d'une façon compréhensible et facilement accessible, en des termes clairs et simples.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. La personne concernée en est informée avant de donner son consentement.

4. (...)

Directive close

Art. 7

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou (….).

Aucune disposition spécifique

Ancienne loi close

Art. 5.

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :

  a) lorsque la personne concernée a indubitablement donné son consentement;

(…)

close