Collecte et traitement de données personnelles : case cochée, consentement invalidé

Equipe VIVALDI
Equipe VIVALDI

Source : Conclusions de l’avocat général, M. MACIEJ Szpuna, présentées le 4 mars 2020

 

Un opérateur roumain de téléphonie mobile s’était vu infliger une amende par l’autorité locale de régulation des télécommunications pour avoir collecté et conservé la copie des pièces d’identité de ses clients sans leur consentement exprès.

 

Le contrat-type de cet opérateur avait en effet inséré une clause selon laquelle ses clients reconnaissaient avoir été informés et avoir consenti à la collecte et à la conservation de ce document à des fins d’identification, consentement matérialisé par une case ayant été cochée par le responsable du traitement des données personnelles, donc par le fournisseur lui-même, avant la signature du contrat.

 

Cette société pensait ainsi répondre aux obligations définies par le Règlement Général sur la Protection des Données (RGPD), imposant à tout responsable de traitement à être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

 

Contestant l’amende prononcée, l’opérateur saisit la juridiction nationale compétente laquelle interroge la CJUE quant aux conditions de validité du consentement de clients au traitement de leurs données personnelles.

 

En premier lieu, la Cour rappelle que le consentement de la personne concernée doit être libre, éclairé et univoque, reprenant ici les critères définis par le RGPD, à savoir :

 

1. Un consentement libre : c’est-à-dire ni contraint ni influencé, la personne devant se voir offrir un choix réel sans avoir à subir de conséquences négatives en cas de refus ;

 

2. Un consentement spécifique : c’est-à-dire correspondant à un seul traitement, pour une finalité déterminée ;

 

3. Un consentement éclairé : c’est-à-dire accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente, traduisant ici une obligation de transparence ;

 

4. Un consentement univoque : c’est-à-dire donné par une déclaration ou tout autre acte positif clair, aucune ambiguïté quant à l’expression du consentement ne pouvant subsister.

 

A contrario, le consentement ne peut être valablement donné en cas de silence ou, comme en l’espèce, de case cochée par défaut.

 

En effet, les clients de cet opérateur téléphonique n’ont, semble-t-il, pas visé la case formalisant leur accord relatif au traitement de données personnelles et n’ont d’ailleurs pas été invité à le faire puisque c’est l’opérateur lui-même, responsable du traitement, qui s’en est chargé préalablement à la conclusion du contrat.

 

Même si cela avait été le cas, le seul fait que cette case ait été cochée par les clients n’est pas de nature à établir une manifestation positive de leur consentement.

 

La Cour en conclut qu’un contrat relatif à la fourniture de services qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte et à la conservation d’une copie de sa pièce d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement à ce traitement, de surcroit lorsque la case se référant à cette clause a été cochée par le responsable dudit traitement avant la signature de ce contrat.

 

La Cour ajoute que ce même contrat n’est pas plus de nature à démontrer le consentement valable du client :

 

Dès lors que ses stipulations sont susceptibles d’induire ce même client en erreur quant à la possibilité de conclure le contrat nonobstant un refus de consentir au traitement de ses données personnelles ;

 

Dès lors que le libre choix de s’opposer à la collecte et à la conservation de données personnelles suppose de compléter un formulaire exprimant ce refus, une telle exigence étant de nature à affecter indûment le libre choix de cette opposition.

 

Il est rappelé que, selon le RGPD, le consentement de la personne dont des données personnelles sont enregistrées dans un fichier n’est pas nécessaire dans les hypothèses suivantes :

 

L’exécution d’un contrat ou de mesures précontractuelles rendant nécessaire le traitement de ces données ;

 

Le respect d’une obligation légale ;

 

La sauvegarde d’intérêts vitaux (à titre d’exemple, le suivi d’une épidémie et sa propagation) ;

 

L’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable du traitement (à titre d’exemple, les fichiers de police ou de l’administration fiscale) ;

 

La poursuite d’un intérêt légitime du responsable du traitement (à titre d’exemple, un employeur conduit à traiter les données de ses salariés à des fins de contrôle de l’accès à certains locaux pour des motifs de sécurité ou de santé),

 

En dehors de ces cas, le consentement de la personne concernée est obligatoire, lequel confère alors son caractère licite au traitement des données personnelles le concernant.

 

Vianney DESSENNE

Partager cet article