L’adage « qui ne dit mot consent » ne s’applique pas en matière de protection des données à caractère personnel. La formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) l’a notamment rappelé dans une délibération du 21 janvier 2019 prononçant une sanction publique de 50 millions d’euros à l’encontre de la société Google LLC, pour manquement à ses obligations découlant du Règlement général sur la protection des données (RGPD).

La notion de consentement préexiste au RGPD. En effet, la directive 95/46/CE énonçait ses caractéristiques. Toutefois, le RGPD a précisé la définition de cette notion. Comment recueillir valablement le consentement de la personne concernée aujourd’hui ?

Mathias Avocats avait abordé dans une publication précédente la manière dont cette délibération venait préciser les contours de l’obligation d’information. Aujourd’hui, Mathias Avocats analyse ses apports relatifs au consentement de la personne concernée.

Les faits

La formation restreinte relève de la part de la société contrôlée un manquement à l’obligation de disposer d’une base légale, pour des traitements relatifs à la personnalisation de publicités aux utilisateurs de ses services.

Il convient de préciser que la société avait bien identifié une base légale pour les traitements litigieux, à savoir le consentement de la personne concernée. Toutefois, la formation restreinte estime que la société ne l’a pas valablement recueilli. De ce fait, la société ne peut se prévaloir d’aucune base légale pour les traitements litigieux, ce qui constitue un manquement au principe de licéité du traitement (article 5 1. a) et article 6 du RGPD.

Brefs rappels sur le consentement

Le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 4, 11).

Le Groupe de travail de l’article 29 (G29) a apporté des précisions sur le sens à donner à cette définition dans des lignes directrices en date du 10 avril 2018 (WP259).

La présente délibération a été l’occasion pour la formation restreinte d’illustrer en pratique la nouvelle définition contenue dans le RGPD.

Une manifestation de volonté libre

Le G29 indique ainsi que le consentement n’est pas libre notamment « si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement ».

En l’espèce, la formation restreinte ne se prononce pas sur le caractère libre ou non du consentement recueilli par la société. Elle se limite à rappeler les conditions dans lesquelles l’exigence de liberté du consentement est remplie. Ainsi, la formation restreinte retranscrit le considérant 43 du RGPD, lequel précise que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement », alors que cela aurait été approprié en l’espèce.

Un acte univoque

Le caractère univoque rejoint la notion « d’acte positif clair ». Le considérant 32 du RGPD prévoit notamment qu’il ne peut y avoir consentement « en cas de silence, de cases cochées par défaut ou d’inactivité ».

En l’espèce, la formation restreinte relève que l’utilisateur n’a pas directement accès aux cases lui permettant de donner son consentement ou de refuser de le donner. Il doit en effet cliquer sur un bouton « plus d’options » avant de créer son compte pour accéder à ces paramètres. La formation restreinte indique que les cases lui permettant d’exprimer son consentement à chaque finalité sont de plus toutes cochées par défaut.

De ce fait, si l’utilisateur ne clique pas sur le bouton « plus d’options », son consentement est recueilli alors même qu’il est resté passif. A ce titre, selon la formation restreinte, il ne peut donc pas être considéré que l’utilisateur a exprimé un consentement univoque.

Un consentement spécifique à chaque finalité

L’exigence d’un consentement spécifique implique que le responsable du traitement détaille les différentes finalités pour lesquelles il souhaite recueillir le consentement de l’utilisateur. Dans les lignes directrices précitées, le G29 précise que le responsable du traitement « devrait prévoir un consentement distinct pour chaque finalité afin que les utilisateurs puissent donner un consentement spécifique à des finalités spécifiques ».

En l’espèce, la formation restreinte ne semble pas contester le fait que les finalités soient exposées de manière distincte et que l’utilisateur puisse donner ou refuser son consentement pour chacune d’entre elle. Toutefois, comme indiqué ci-dessus, la formation restreinte souligne que les cases destinées à recueillir le consentement de l’utilisateur sont pré-cochées et que par ailleurs, lorsque l’utilisateur crée son compte sans cliquer sur « plus d’options », la société considère qu’il consent à toutes les finalités.

Dans cette hypothèse, la formation restreinte considère que le caractère spécifique n’est pas établi « puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements », y compris tous ceux nécessitant son consentement. Le consentement recueilli n’est alors pas spécifique à chaque finalité.

La notion de consentement éclairé

Dans les lignes directrices précitées, le G29 indique que pour qu’il y ait consentement éclairé, la personne concernée doit disposer d’informations lui permettant d’identifier facilement le responsable du traitement et de comprendre ce à quoi elle consent. En outre, l’information doit répondre aux exigences de l’article 12 du RGPD, c’est-à-dire qu’elle doit être « concise, transparente, compréhensible et aisément accessible ».

Or en l’espèce, la formation relève notamment que l’information relative aux traitements ayant pour base légale le consentement de l’utilisateur est « excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible », qu’elle manque de clarté et n’est pas suffisamment compréhensible.

La formation restreinte en conclut que le consentement recueilli n’est pas éclairé.

Quels points de vigilance pour les responsables de traitements ?

Cette décision permet d’illustrer les réflexes devant être adoptés par les responsables qui mettent en oeuvre des traitements fondés sur le consentement.

Tout d’abord, il est rappelé que l’usage de cases pré-cochées pour recueillir le consentement est à proscrire.

La formation restreinte précise également dans cette délibération ses attentes quant à la pratique dite du consentement « mutualisé », consistant à recueillir le consentement en une seule fois pour plusieurs finalités. Elle pose ainsi la double condition suivante :

  • Toutes les finalités pour lesquelles le consentement est recueilli doivent être détaillées ;
  • La personne concernée doit avoir la possibilité de consentir soit à l’intégralité des finalités exposées par une fonctionnalité ou un bouton unique (par exemple « OK, tout accepter »), soit à une partie seulement des finalités.

De plus, le responsable du traitement doit pouvoir prouver avoir recueilli le consentement de la personne concernée en cas de contrôle. De ce fait, il est impératif de s’assurer d’être en mesure de matérialiser ce consentement au sein de la base de données, au regard du principe d’accountability.

Enfin, la personne concernée pouvant retirer son consentement librement, le responsable du traitement doit également être en mesure de répondre à sa demande de retrait à tout moment. Cela implique notamment que des outils appropriés soient utilisés ou créés par le responsable du traitement lors de l’élaboration du traitement, en application notamment du principe de privacy by design.

Mathias Avocats publiera prochainement un dernier article sur cette délibération de la formation restreinte, portant sur les enjeux procéduraux de ce dossier.