Consentement

La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (article 6.1.a) du RGPD.

Le traitement peut reposer sur le fait qu'une personne consente au traitement de ses données à caractère personnel (article 6.1.a) du RGPD). Cela ne constitue pas pour autant un laisser-passer pour traiter n'importe quelle donnée. Vous ne pouvez traiter que les données qui sont nécessaires à la réalisation de la finalité pour laquelle vous avez demandé le consentement (article 5.1.c) du RGPD). Donc, même avec un consentement, vous ne pouvez pas traiter des données à caractère personnel dont vous n'avez pas besoin à proprement parler pour atteindre votre but.

L'article 4.11) du RGPD définit un consentement valable comme étant : "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement". Les critères de validité du consentement au sens du RGPD forment un tout indivisible.

Qu'est-ce que cela signifie concrètement ?

Le consentement doit être éclairé, c'est-à-dire que la personne qui donne son consentement doit comprendre ce à quoi elle consent. Ce n'est possible que si, en tant que responsable du traitement, vous informez la personne concernée préalablement. Les informations que vous communiquez doivent être complètes, claires et formulées en des termes compréhensibles de sorte que la personne concernée puisse décider en connaissance de cause. Il faut également veiller à ce que la personne concernée ait ces informations réellement sous les yeux ; le fait qu'elles soient "accessibles" ne suffit pas.

Si vous collectez les données directement auprès de la personne concernée, vous devez communiquer ces informations au moment de la collecte. Si vous ne les collectez pas directement auprès de la personne concernée, vous devez fournir les informations dans un délai raisonnable. Il s'agit là de l'application des articles 13 et 14 du RGPD qui énumèrent les informations à fournir (pour plus d'informations, consultez la rubrique Droits des personnes concernées).

Le consentement doit être libre, c'est-à-dire que la personne concernée a véritablement le choix d'accepter ou de refuser. Ce n'est pas le cas lorsque :

un refus de consentir a des conséquences négatives ;
il y a un déséquilibre entre la personne concernée et le responsable du traitement, comme par exemple un citoyen à l'égard de l'autorité publique, un travailleur à l'égard de son employeur ;
on ne peut pas donner un consentement distinct pour plusieurs opérations de traitement. Par exemple, lors du téléchargement d'une application "lampe de poche", la personne concernée est obligée de partager sa localisation. La transmission de données de localisation n'est pas nécessaire et la fourniture du service "lampe de poche" ne peut être conditionnée au consentement de partager sa localisation ;
le consentement est un élément non négociable des conditions générales ;
la personne concernée ne peut pas retirer son consentement à tout moment.

Le consentement doit être spécifique, c'est-à-dire que la personne concernée donne son consentement pour quelque chose (une finalité) qui est déterminé(e). Si vous demandez le consentement de la personne concernée pour plusieurs finalités, elle doit avoir la possibilité de consentir ou non pour chacune des finalités (opt-in). Il n'y a consentement pour chaque finalité spécifique qu'à cette condition. Par exemple, un hebdomadaire organise un quiz à titre publicitaire, permettant de gagner un voyage. Les participants mentionnent leurs coordonnées sur le formulaire de participation afin que l'hebdomadaire puisse contacter le gagnant. L'hebdomadaire souhaite transmettre les coordonnées des participants à une série d'éditeurs d'autres hebdomadaires ainsi qu'à des tour-opérateurs afin que ces deux groupes puissent envoyer des publicités aux participants du quiz. Il s'agit ici d'autres traitements qui n'ont rien à voir avec le quiz. Pour que l'hebdomadaire puisse transmettre les données des participants, il doit demander le consentement aussi bien pour la transmission aux éditeurs que pour la transmission aux tour-opérateurs.

Le consentement doit être univoque, c'est-à-dire qu'il requiert un acte positif clair de la personne concernée. Toute imprécision au sujet de la volonté de la personne concernée de donner son consentement est ainsi exclue. Cet acte positif peut être une déclaration écrite ou orale ainsi qu'un acte spécifique comme par exemple un mouvement de glissement dans une certaine direction d'un élément sur un écran.

Le fait qu'un acte actif soit requis signifie que l'on ne peut pas considérer le silence ni l'inactivité de la personne concernée comme une indication de son choix. Il en va de même si elle continue à utiliser un service ou si elle ne décoche pas une case cochée par défaut. Les méthodes suivantes sont dès lors contraires à cette exigence de base du consentement :

lorsque l'on utilise des cases de consentement déjà cochées par défaut ;
lorsque la personne concernée doit cocher des cases pour refuser le consentement (opt-out) ;
lorsque l'on signale à la personne concernée qu'en continuant sa visite du site, elle donne son consentement (par exemple pour la collecte de données via des cookies).

Attention : lorsque la personne concernée est mineure, il faut en outre tenir compte des dispositions de droit commun relatives à la validité juridique du consentement donné par des mineurs (voir également ci-après : les mineurs et les services de la société de l'information).

Obligations du responsable du traitement

Si, en tant que responsable du traitement, vous traitez des données à caractère personnel sur la base du consentement, vous êtes tenu à plusieurs obligations en vertu de l'article 7 du RGPD :

vous devez pouvoir démontrer que la personne concernée a donné son consentement au traitement, c'est donc sur vous que repose la charge de la preuve ;
vous devez informer clairement la personne concernée de la possibilité de retirer son consentement ;
vous devez veiller à ce que la personne concernée ait autant de facilité de retirer son consentement que de le donner. Par exemple si vous donnez votre consentement en cochant une case sur un site Internet, on ne peut pas vous demander d'envoyer un courrier pour retirer votre consentement.

Durée de validité du consentement

Le RGPD ne fixe pas la durée de validité du consentement que vous avez obtenu. Elle dépend du contexte : la finalité à laquelle le consentement se rapporte, la portée du consentement initial, la nature de votre activité, les attentes légitimes et raisonnables de la personne qui a donné le consentement. Par exemple, vous consentez à collaborer à une étude sociologique sur les habitudes de vote. Votre consentement porte uniquement sur cette étude spécifique. Une fois l'étude terminée, le consentement est "épuisé".

Après un certain temps, vous devez vérifier, en tant que responsable du traitement, si le consentement constitue toujours une base juridique suffisante, par exemple pour conserver les données d'une personne, eu égard à la finalité pour laquelle ce consentement a été donné (= application du principe de proportionnalité – article 5.1.e) du RGPD).

Retrait du consentement

La personne concernée a le droit de retirer son consentement à tout moment (article 7.3 du RGPD).

Le RGPD ne précise pas la manière dont ce retrait doit se faire. Le Comité européen de la protection des données affirme à cet égard : "Toutefois, lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, les personnes concernées doivent, en pratique, pouvoir retirer ce consentement par le même biais".

Obliger les personnes concernées à suivre un cheminement complexe via des liens vers des documents électroniques ou les contraindre à saisir un mot de passe ne respecte pas l'exigence de pouvoir retirer son consentement de manière aussi simple qu'on l'a donné. Lorsque des cookies "de tiers" sont placés, il ne suffit pas non plus de renvoyer la personne concernée aux pages d'information de ces tiers et de les obliger à chercher pour chacun de ces tiers la manière d'exprimer son retrait/refus de consentement.

Lorsqu'une personne concernée retire son consentement, il faut cesser tous les traitements qui se fondent sur celui-ci. Les opérations réalisées sur la base d'un consentement donné valablement avant le retrait restent toutefois licites.

Situation spécifique : les mineurs et les services de la société de l'information

Lorsque vous êtes actif dans le secteur des services de la société de l'information et que votre public peut aussi être composé de mineurs, vous devez respecter les règles de l'article 8 du RGPD qui instaurent des obligations complémentaires en vue d'assurer un meilleur niveau de protection des données des enfants. Les raisons à cela sont reprises au considérant 38 du RGPD : " [...] parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel [...]", qui ajoute également que "Cette protection spécifique devrait, notamment, s'appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant."

Un service de la société de l'information est : tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services (article 4.25) du RGPD qui renvoie à l’article 1.1.b) de la Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine réglementations techniques et des règles relatives aux services de la société de l'information).

Dans le contexte de tels services, vous ne pouvez traiter en Belgique des données à caractère personnel de mineurs sur la base de leur consentement que s'ils ont atteint l'âge de 13 ans. Si l'enfant a moins de 13 ans, vous devez avoir le consentement de l'adulte titulaire de la responsabilité parentale.

En tant que responsable du traitement, vous devez fournir les efforts raisonnables pour vérifier si la personne concernée a en effet l'âge auquel elle peut donner un consentement pour un service de la société de l'information. Si elle n'a pas atteint cet âge, votre traitement sera illicite, dans la mesure où il se fonde sur le consentement. Si la personne concernée déclare qu'elle n'a pas l'âge requis, vous devez obtenir le consentement d'un parent et fournir les efforts raisonnables, en tenant compte des technologies disponibles, pour vérifier si cette personne est bel et bien titulaire de la responsabilité parentale (article 8.2 du RGPD). Dans le cadre de votre responsabilité en tant que responsable du traitement, vous devez veiller à documenter les efforts raisonnables que vous déployez.

Attention :

pour les traitements transfrontaliers : l'âge du consentement pour les services de la société de l'information n'est pas le même dans tous les pays de l'Union européenne. En France par exemple, il est fixé à 16 ans ;
le règlement de l'article 8 du RGPD ne porte pas préjudice aux règles générales applicables en matière de validité d'un contrat et d'effets d'un contrat à l'égard d'un enfant (article 8.3 du RGPD).