La question du consentement doit être toutefois nuancée sur un point, car cela n’est jamais que l’une des six bases légales que le RGPD impose (et de loin celle la moins bien utilisée). Pour rappel, on peut en effet légalement traiter des données personnelles si :
- la personne concernée a consenti au traitement de ses données personnelles (…)
- le traitement est nécessaire au respect d’une obligation légale (…)
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (…)
- le traitement est nécessaire à l’exécution d’une mission d’intérêt public (…)
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (…)
Si tant est que le consentement est donc vraiment nécessaire au traitement des données personnelles, la question se pose alors de savoir alors comment l’obtenir valablement. Sur ce point, le RGPD a extrêmement bien cadré les choses : non seulement en donnant une définition précise de ce consentement, mais également en donnant des indications techniques sur la manière de l’obtenir, mentionnant notamment les cases à cocher.
Qu’est-ce qu’un consentement valable ?
Le RGPD a pris soin de définir précisément la notion de consentement dans son article 4 :
11) «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
Il y a donc quatre conditions qui doivent être présentes pour que le consentement puisse être valablement recueilli.
Le consentement doit être libre
La première condition est que le consentement doit être libre, c’est-à-dire émaner de la libre volonté de la personne elle-même. De manière intéressante, cela exclu qu’un consentement puisse être obtenu par une autorité publique lorsque celle-ci est dans l’exercice normal de ses missions. En réalité, dans un tel cas, le traitement relève alors d’une obligation légale ou d’une mission publique.
Le RGPD le rappelle d’ailleurs assez clairement :
Considérant 43 : Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
On note donc que c’est l’utilisateur lui-même qui doit donner son consentement volontairement et – évidemment – sans y être forcé.
Le consentement doit être spécifique
La seconde condition tient au fait que le consentement doit être spécifique. En fait cette condition rappelle simplement que l’utilisateur doit comprendre exactement ce à quoi il consent, sans quoi il ne peut y avoir de consentement. En effet, il est difficile de consentir à quelque chose qui soit excessivement large (« tout traitement de mes données personnelles »), auquel cas l’utilisateur ne sait pas vraiment à quoi il consent.
Le consentement doit être éclairé
Cette condition de spécificité renvoie évidemment à la compréhension de l’utilisateur du traitement des données personnelles effectué. En cela, le considérant 42 apporte des précisions intéressantes :
« Considérant 42 : une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »
Le consentement doit être univoque
Enfin le consentement doit être univoque, c’est-à-dire clair et sans discussion – ce que le responsable du traitement devra d’ailleurs être en mesure de démontrer par la suite, conformément à l’article 7 :
« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant« .
La case à cocher est-elle indispensable pour un consentement valable ?
La question reste donc entière de savoir comment construire en pratique un processus qui permette d’obtenir un consentement valable – sans toutefois trop alourdir l’expérience utilisateur. La tâche n’est assurément pas simple au regard du volume d’informations à indiquer autant qu’aux précautions à mettre en oeuvre afin de s’assurer de la validité du consentement.
Sur ce point le règlement apporte des indications tout à fait intéressantes, mentionnant notamment la case à cocher dans le considérant 32 :
« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé. »
Si le RGPD envisage la case à cocher comme une possibilité elle n’est cependant pas la seule manière d’obtenir ce consentement dès lors que l’utilisateur peut exprimer une volonté claire et non ambiguë au traitement de ses données.
Un exemple simple pourrait être la publication de commentaires sur un blog, qui est un processus assez classique et qui remplit l’ensemble des conditions imposées par le RGPD.
La mention est importante car une case à cocher perturbe l’expérience utilisateur en ajoutant des contraintes qui peuvent sembler excessives dans le cadre de la publication d’un commentaire sur un blog par exemple – car à force de trop formaliser pour des choses peu importantes – on en finit par faire baisser l’attention de l’utilisateur sur des traitements qui peuvent être substantiellement plus risqués.
Donc une case à cocher pourquoi pas, mais pour les traitements à risque, nécessitant une attention marquée de l’utilisateur quant aux risques pour ses données. En fait, la case à cocher est comme la prétendue obligation d’avoir un DPO, un mythe du RGPD.