2

Le renforcement du consentement

< Rapport d'information >

Le règlement ne modifie pas les différentes conditions de licéité du traitement définies par la directive de 1995 (40), au premier rang desquelles figure le consentement de la personne concernée.

En revanche, il renforce les conditions applicables à ce consentement. La seule exigence posée par la directive de 1995 était en effet que le consentement devait avoir été donné « indubitablement » par la personne concernée. L’imprécision de cette notion ne paraissait plus adaptée au monde numérique, ainsi que l’a souligné la commission de réflexion sur les droits et libertés à l’ère du numérique : « le consentement peut se heurter, dans l’environnement numérique actuel, à plusieurs limites [...] : complexification et sophistication des dispositifs techniques et des modèles commerciaux de collecte des données, sous-estimation par les individus des risques et des dommages potentiels générés par ces traitements de données, opacité ou surformalisation des informations délivrées par les responsables de traitement (recours à des politiques de vie privée ou privacy policies longues et complexes), interrogations sur le recueil d’un consentement véritablement libre par ces derniers. » (41)

Le règlement précise la définition de l’expression du consentement, en posant le principe du consentement explicite. L’article 4 dispose en effet que le consentement correspond à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le considérant 32 précise que le consentement peut être donné « en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement que la personne concernée accepte le traitement [...] ». Le consentement est exclu en cas de silence ou de cases précochées. Lorsqu’il s’agit d’une demande de consentement par voie électronique, celle-ci ne doit pas perturber l’utilisation du service qu’elle concerne.

Le consentement doit porter sur « une ou plusieurs finalités spécifiques » (article 6).

L’article 7 précise les conditions applicables au consentement :

– si celui-ci est donné dans une déclaration écrite concernant également d’autres questions (par exemple des conditions générales) , « la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » ;

– le responsable de traitement doit être en mesure de prouver que la personne a consenti au traitement de ses données ;

– la personne concernée a le droit de retirer son consentement à tout moment mais ce retrait n’a pas d’effet rétroactif.

La personne concernée doit disposer d’une véritable liberté de choix et doit pouvoir refuser ou retirer son consentement sans subir de préjudice. Le consentement est présumé ne pas avoir été donné librement si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à cette exécution. (42)

En outre, le règlement définit les conditions spécifiques applicables au consentement des enfants , ce qui est une nouveauté par rapport à la directive 95/46. Le considérant 38 justifie cette protection spécifique par le fait que les enfants peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement de données personnelles. Sont citées notamment l’utilisation des données personnelles d’un enfant à des fins de marketing, de création de profils de personnalité ou d’utilisateur et la collecte de données lors de l’utilisation de services proposés directement à un enfant.

L’article 8 définit le régime du consentement des enfants : « […] en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. » Le responsable du traitement doit « s’efforcer de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ». Le recueil effectif du consentement auprès du titulaire de l’autorité parentale ne semble à cet égard pas totalement garanti.

Les États membres peuvent prévoir par la loi un âge inférieur à partir duquel l’enfant peut donner personnellement son consentement, cet âge ne pouvant être inférieur à 13 ans. À défaut de dispositions nationales spécifiques, l’âge de 16 ans s’appliquera.

< Rapport d'information >