Le Règlement 2016/679/UE du Parlement Européen et du Conseil du 27 avril 2016 (Règlement Général de Protection des Données à Caractère personnel, « RGPD »), a profondément modifié les règles applicables aux traitements de données à caractère personnel, notamment en renforçant le rôle du consentement des personnes concernées au traitement de leurs données et s’assurant qu’il existera bien et sera libre et éclairé.

Cela conduit bien entendu à renforcer considérablement les obligations reposant sur les responsables de traitement.

La question qui peut se poser est de savoir si le consentement obtenu dans les conditions légales et règlementaires antérieures doit être mis en conformité avec les nouvelles dispositions du RGPD ?

Mise en conformité avec le RPGD des consentements obtenus antérieurement?

Titre I – synthèse des règles posées par le RGPD concernant le consentement des personnes

Le consentement des personnes au traitement de leur données à caractère personnel est imposé dans certains cas uniquement (I) et lorsqu’il est imposé, il doit répondre à des conditions strictes, garantissant, en quelques sortes, d’une part qu’il existe vraiment et, d’autre part, qu’il est libre et éclairé (II).

I – Dans quels cas le consentement est-il nécessaire pour réaliser un traitement ?

L’article 6 du RGPD indique que pour pouvoir mettre en œuvre un traitement licite, le responsable doit obtenir préalablement le consentement de la personne concernée, si le traitement qu’il envisage ne rentre dans aucune des catégories suivantes :

– Le traitement est nécessaire à l’exécution d’un contrat ou à l’exécution de mesures précontractuelles prises à   la demande de celle-ci (par exemple l’établissement d’un devis) ;

– Il est nécessaire au respect d’une obligation légale (recensement par l’INSEE, registre unique du personnel, etc.)

– Il est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique (constitution d’un fichier de police, dossiers de l’administration fiscale, etc.)

– Il est nécessaire pour sauvegarder les intérêts vitaux de la personne (par exemple en cas d’épidémie, ou dans les situations de catastrophe naturelle, etc.)

– Il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement (prévention de la fraude, transfert au sein d’un groupe, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.

Un consentement explicite de la personne est également imposé dans le cas où des données sensibles la concernant font l’objet d’un traitement (i) , ainsi que pour les traitements impliquant un transfert de ses données vers un pays tiers (hors UE et pour lesquels la Commission européenne n’a pas jugé qu’ils présentaient un niveau de protection adéquat)(ii) ou une organisation internationale, et enfin pour certains traitements impliquant des décisions automatisées (iii) .

II – Les conditions d’un consentement réel, libre et éclairé

Pour rappel, l’article 4 du RGPD définit le consentement comme « TOUTE MANIFESTATION DE VOLONTE, LIBRE, SPECIFIQUE, ECLAIREE ET UNIVOQUE PAR LAQUELLE LA PERSONNE CONCERNEE ACCEPTE, PAR UNE DECLARATION OU PAR UN ACTE POSITIF CLAIR, QUE DES DONNEES A CARACTERE PERSONNEL LA CONCERNANT FASSENT L’OBJET D’UN TRAITEMENT. »

Le G29 a publié, le 28 novembre 2017, des Lignes Directrices relatives à la gestion du consentement tel que règlementé par le RGPD qui abordent de manière approfondie les conditions de validité du consentement telles que listées dans l’article 4 ci-dessus rappelé.

En résumé, les conditions suivantes :

Un consentement libre : cette condition pourrait être considérée comme n’étant pas remplie si la personne n’a pas de véritable choix ou que le refus, ou le retrait, de son consentement entraine des conséquences négatives pour elle, notamment la non-signature d’un contrat. C’est d’ailleurs ce qu’indique l’article 7 (4) du RGPD. L’appréciation de l’existence d’un déséquilibre entre les parties doit également être pris en compte pour déterminer si le consentement était libre.

Un consentement spécifique : cela implique que la personne ait bien eu conscience de donner son accord au traitement concerné. L’article 7 du RGPD précise à cet égard que si le consentement est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, « la demande de consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. »

Un consentement éclairé : la personne doit avoir été informée précisément des modalités du traitement dont ses données à caractère personnel vont faire l’objet, sauf si elle dispose déjà de cette information. Le contenu de cette information est détaillé par le RGPD aux articles 13 (lorsque le responsable collecte directement les données) et 14 (lorsque les données n’ont pas été collectées directement auprès de la personne concernée par le responsable de traitement). La personne doit aussi être informée qu’elle a le droit de retirer son consentement à tous moments.

Un consentement univoque et résultant d’un acte positif clair. Cette condition interdit de considérer que le silence gardé par une personne ou l’absence de réaction de sa part, ou encore le fait de continuer à utiliser les services, puisse constituer un acte positif. Il faut que le responsable de traitement mette en place un système permettant aux personnes concernées de manifester, par une action, leur consentement.

Il est important de noter que, dans le cas où le traitement repose sur le consentement, le RGPD fait reposer sur le responsable de traitement la charge de la preuve qu’il a bien obtenu le consentement de la personne concernée et que ce consentement est bien conforme aux conditions posées par le RGPD.

Titre II – la nécessaire mise en conformité avec le RGPD des consentements obtenus antérieurement

I – L’Obligation de mise en conformité des consentements obtenus ?

Assez logiquement avec les objectifs recherchés par le RGPD qui consistent, d’une part, à rendre aux individus le contrôle sur leurs données et, d’autre part, à responsabiliser davantage les professionnels en contact avec des données à caractère personnel, ledit règlement s’appliquant aussi bien aux traitements de données à caractère personnel en cours au 25 mai 2018 qu’à ceux qui seront postérieurs.

C’est d’ailleurs précisé dans le considérant 171 du RGPD qui indique que « LES TRAITEMENTS DEJA EN COURS A LA DATE D’APPLICATION DU PRESENT REGLEMENT DEVRAIENT ETRE MIS EN CONFORMITE AVEC CELUI-CI DANS UN DELAI DE DEUX ANS APRES SON ENTREE EN VIGUEUR. »

Pour les traitements antérieurs au 25 mai 2018 et dont la licéité repose sur le consentement, la question qui se pose est de savoir si le responsable de traitement doit renouveler sa demande de consentement, afin de mettre en conformité avec la nouvelle règlementation les consentements valablement collectés antérieurement.

Ce point est traité uniquement par le considérant 171 du RGPD qui dispose que « LORSQUE LE TRAITEMENT EST FONDE SUR UN CONSENTEMENT EN VERTU DE LA DIRECTIVE 95/46/CE, IL N’EST PAS NECESSAIRE QUE LA PERSONNE CONCERNEE DONNE A NOUVEAU SON CONSENTEMENT SI LA MANIERE DONT LE CONSENTEMENT A ETE DONNE EST CONFORME AUX CONDITIONS ENONCEES DANS LE PRESENT REGLEMENT ».

Or, comme indiqué ci-dessus, le RGPD étant plus contraignant en cette matière que les règlementations antérieures, il existe un risque important que la condition posée par ce considérant pour ne pas avoir à demander à nouveau leur consentement aux personnes concernées, ne soit pas remplie dans la plupart des cas.

En effet, sous l’emprise de la loi Informatique et Liberté de 1978 (iv) et de la loi pour une République Numérique de 2016 (v) , le responsable de traitement avait un certain nombre d’informations à fournir à la personne concernée au moment de la collecte, mais la quantité et la précision des informations à fournir ont été substantiellement augmentées par le RGPD.

De plus, comme rappelé ci-dessus, le RGPD a imposé de nouvelles conditions plus strictes concernant l’obtention du consentement, et de plus il a fait reposer sur le responsable de traitement la charge de la preuve de l’obtention d’un consentement dans ces nouvelles conditions.

Ainsi, si on considère que le RGPD s’applique également aux consentements collectés avant le 25 mai 2018, il existe un risque certain que cette collecte ne soit pas conforme avec les exigences du RGPD.

Il conviendrait, en toutes hypothèses, que les responsables de traitement examinent minutieusement leurs processus actuels de collecte et de conservation des justificatifs de ces consentements et les comparent aux nouvelles exigences. S’ils ne sont pas certains qu’ils respectent les dispositions du RGPD, une régularisation a posteriori est recommandée.

II – Comment procéder en pratique à cette mise en conformité ?

S’il ressort de l’analyse faite par les responsables de traitement des conditions dans lesquelles les consentements étaient obtenus et les justificatifs conservés qu’elles ne leur permettent pas d’être en conformité avec le RGPD, il leur faudra procéder à la mise en conformité a posteriori de ces consentements.

Sur ce point précis, le RGPD ne dit rien. Il conviendrait donc pour chaque responsable de traitement, de vérifier les conditions fixées par le RGPD et qui n’ont pas été respectées lors de la collecte des consentements, et les mettre en œuvre.

Par exemple, pour répondre à l’exigence d’information prévues par l’article 13 du RGPD, il pourrait être envisagé, comme ce qui est prévu à l’article 14, d’envoyer à chaque personne concernée une note, comportant toutes les informations prescrites par le RGPD, et sollicitant leur consentement.

Si cette note est envoyée et ce consentement est collecté par voie électronique, il conviendra de mettre en place leur traçabilité afin, pour le responsable de traitement, de pouvoir démontrer que les conditions fixées par le RGPD ont été respectées comme il lui est imposé par l’article 7 (1) du RGPD.

Un autre exemple serait l’absence de justificatif détenus par le responsable de traitement et concernant les consentements collectés valablement avant le 25 mai 2018. En raison de la charge de la preuve du consentement que le RGPD fait reposer sur lui, le responsable de traitement devrait reconstituer ces justificatifs en demandant à nouveau le consentement aux personnes concernées.

Le responsable de traitement pourra utilement se référer aux Lignes Directrices du G29 sur la gestion du consentement au regard des dispositions du RGPD, au Guide de la sécurité des données personnelles édité par la CNIL en janvier 2017, ou à celui édité par l’autorité de contrôle Britannique, ICO, qui donne des indications sur les moyens techniques pouvant être utilisés pour prouver le consentement.

Stéphane Guerre

Avocat au Barreau de Paris

(i) Définies par l’article 9 du RGPD comme les données relatives à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

(ii) Art. 45 et 49 RGPD

(iii) Art.22 RGPD

(iv) Loi n°78-17, 6 janvier 1978 dans sa version modifiée, art. 32

(v) Loi n° 2016-1321 du 7 octobre 2016, art. 57 et 63

© Cabinet Stéphane Guerre – mars 2018

 

Télécharger l’article au format PDF