La CJUE réaffirme les principes du consentement.

La Cour de Justice de l’Union Européenne[1], a rappelé le 11 novembre 2020, qu’une case pré-cochée par défaut par le responsable de traitement ne correspondait pas à la notion de consentement « libre, spécifique, éclairé et univoque » au sens du  Règlement Général sur la Protection des Données[2].

L’affaire concerne Orange România, la filiale locale roumaine du groupe Orange, leader français de la télécommunication. En mars 2018, l’Autorité nationale de surveillance du traitement des données à caractère personnel roumaine (ANSPDCP) a infligé à la société une amende « pour avoir conservé des copies de titres d’identité de ses clients sans avoir démontré que ces clients avaient donné leur consentement valable ». L’ANSPDCP relevait que les contrats de fourniture de services de télécommunication mobile conclus par la société contenaient une clause stipulant que les clients étaient informés et consentaient à la collecte et à la conservation d’une copie de leur titre d’identité à des fins d’authentification. Les cases insérées dans cette clause était donc pré-cochée par Orange.

par suite de cette décision, Orange România a introduit un recours devant le Tribunal de grande instance de Bucarest qui a demandé à la CJUE de se prononcer sur les conditions de validité du consentement d’un client lors du traitement de ses données personnelles au regard de la directive 95/46 et du règlement 2016/679.

C’est ainsi que la CJUE :

  • rappelle les exigences auxquelles est soumis un tel consentement en se référant à l’article 4 point 11 du RGPD qui requiert une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée. Cette manifestation de volonté doit prendre la forme d’une déclaration ou d’« un acte positif clair », ce qui exclut les cas de « silence, de cases cochées par défaut ou d’inactivité » selon le considérant 32 du même règlement.
  • considère qu’il appartient au responsable de traitement de démontrer la manifestation du consentement du traitement des données personnelles de la personne concernée, à travers un comportement actif. Il lui appartient également de démontrer qu’elle a été informée « sous une forme compréhensible et aisément accessible » des conséquences de ce consentement.
  • relève ainsi qu’un contrat relatif à la fourniture de services de télécommunications contenant une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification ne démontre pas la validité du consentement, au sens du RGPD.

Trois hypothèses d’invalidité du consentement par le contrat :

  • La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat,
  • Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données,
  • le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.

 

Non loin d’être le premier arrêt sur le sujet, celui-ci s’inscrit dans la continuité d’une décision rendue par la CJUE le 1er octobre 2019 [3] « Planet 49 » à propos des cookies. Dans cet arrêt, la Cour avait estimé que « le consentement […] n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. »

Cependant, un rappel du juge européen des principes posés par le RGPD n’est jamais superflu.

En effet, une étude réalisée par des chercheurs du Massachusetts Institute of Technology (MIT) début janvier[4] révèle que seuls 11,8% des 10 000 sites étudiés seraient conformes aux exigences du RGPD en termes de consentement aux cookies.

Ainsi, plus de deux ans après l’entrée en vigueur du RGPD, des progrès sont encore attendus malgré le montant des sanctions pécuniaires en cas de plaintes ou de contrôle d’un responsable de traitement pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Attention à vos cookies !

Un site internet conforme au RGPD sécurise votre activité et valorise vos données, pensez-y !

 

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats & Louise Bonhomme, élève avocat

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets et leur conformité au RGPD.

 

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=233544&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=12846754

[2] https://www.privacy-regulation.eu/fr/4.htm

[3]http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1471452

[4] https://arxiv.org/abs/2001.02479

 

Pour aller plus loin :

Nous contacter