Le consentement : le faux-ami des bases légales?

juin 5th, 2019 | Posted by Claude-Etienne Armingaud in Communication | Données Personnelles | Presse

Depuis plus d’un an, nous assistons à une génération spontanée de demandes d’acceptation à la mise en œuvre de traitement de données à caractère personnel (« Données Personnelles »). Trop nombreux sont ceux qui pensent encore qu’elles ne peuvent être traitées que sous réserve du consentement des personnes concernées.

Pourtant, hors quelques situations particulières, le consentement n’a jamais été conçu comme une condition isolée et impérative de la mise en œuvre d’un traitement de Données Personnelles. Il ne l’était pas sous l’empire de la Directive de 1995[1], il ne l’est pas plus sous celui du Règlement de 2018[2].

Tout au plus, le consentement n’est que « l’une des » : une des six bases légales sur lesquels un traitement doit nécessairement se fonder. Ainsi, dans ce cercle restreint de justifications possibles, ce consentement est concurrencé par des nécessités impérieuses – celles de l’exécution d’un contrat, du respect d’une obligation légale, de la sauvegarde d’intérêts vitaux d’une personne physique, de l’exécution d’une mission d’intérêt public ou, encore, la nécessité pour les « intérêts légitimes », propres au responsable de traitement ou même d’un tiers[3].

Tout responsable de traitement demeure donc libre de choisir de traiter des Données Personnelles en s’appuyant sur l’une quelconque de ces bases légales, toutes égales entre elles. L’aspect cornélien de ce choix ne résulte donc pas tant d’une hiérarchie entre ces bases légales, mais bien des considérations intrinsèques du traitement considéré : si le responsable du traitement se doit d’en choisir une, il ne peut se diriger que vers une (et une seule) base, la plus appropriée.

1. Les lignes directrices européennes ou le « Consentement pour les Nuls »

Nonobstant ce qui précède, force est effectivement de constater que l’Europe accorde une place particulière au consentement : il se situe en tête de la liste des bases légales possibles, et dispose de sa propre définition[4] à l’article 4.11. En outre, le prédécesseur du Comité Européen de la Protection des Données (« CEPD ») lui a dédié près de 40 pages de Lignes Directrices[5].

Cette vaste doctrine détermine les contours d’une notion protectrice de la partie réputée la plus faible dans la relation, celle qui s’engage. Ainsi, un consentement doit être :

  • librement donné — la personne concernée doit être en mesure d’effectuer un choix réel et un contrôle effectif sur ce choix, sans contrepartie ni contrainte ; le consentement ne saurait être acheté ou vendu ;
  • spécifique — le consentement ne peut être valide que s’il a été donné par la personne concernée après qu’elle a pu prendre connaissance des finalités du traitement de ses Données Personnelles et pour ces seules finalités annoncées. En outre, dans le cadre d’un traitement à finalités multiples, la personne concernée doit être en mesure de consentir indépendamment pour l’une et/ou l’autre de ces finalités, pour autant que le consentement soit requis pour celles-ci ;
  • éclairé — le consentement ne saurait être librement donné ou spécifique sans la fourniture d’informations précises sur les traitements du traitement et de ses finalités. Ce choix sémantique fait suite à la notion d’« informé », précédemment utilisée par la Directive et souligne les attentes du régulateur quant au niveau de détail attendu ; et
  • univoque — le consentement requiert un acte positif de la personne concernée, qui coupe court à toute « présomption » de consentement (telles des cases pré-cochées) et renverse la charge de la preuve de ce consentement sur le responsable du traitement.

En définitive, selon le régulateur européen, un consentement n’est valable qu’à partir du moment où, après la fourniture des informations nécessaires, claires, complètes et précises, la possibilité est donnée à la personne concernée de cocher une case d’acceptation et que l’accès à des services parallèles qui ne requerraient pas le consentement n’est pas conditionné à une telle acceptation.

2. Le consentement 2.0 : Altius, Fortius, nec Citius

Le consentement n’est pas un concept nouveau. Si la notion d’ « accord exprès », était requis pour les seuls traitements de Données Personnelles sensibles dans la version d’origine de la loi « Informatique et Libertés[6] » sans  pour autant être défini,  la Directive avant introduit tant le terme que sa définition[7].

Antérieure à la démocratisation de l’internet et des services aux utilisateurs reposant extensivement sur la donnée, cette définition du consentement avait donc besoin d’être adaptée à certaines interprétations, parfois trop laxistes, résultant d’une directive appréciée par chaque État Membre au regard de sa propre histoire.

Outre le critère « éclairé et univoque » mentionné ci-dessus, c’est le renversement de la charge de la preuve qui marque un rééquilibrage majeur des puissances en présence. Ce renversement est explicitement visé à l’Article 7.1 du RGPD qui requiert que le responsable du traitement soit « en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. » Une telle approche prolonge le « principe de responsabilisation » (« accountability framework ») introduit par le RGPD et qui impose aux responsables du traitement non solum de le respecter sed etiam d’être en mesure de documenter et justifier cette conformité.

Dans ce même mouvement de rééquilibrage, le RGPD a ajouté un droit au retrait du consentement par la personne concernée, sans frais et à tout moment, par le biais d’une modalité équivalente (« aussi simple » d’après l’Article 7.3 du RGPD) à celle utilisée lors du recueil du consentement. Ainsi, le responsable qui collecte un consentement exclusivement en ligne ne peut désormais plus conditionner son retrait à l’envoi d’un courrier postal.

Enfin, les précisions apportées aux conditions du recueil du consentement qui serait demandé à un mineur (qui mérite « une protection spécifique », notamment au travers d’un éclairage sur le consentement rédigé « en des termes clairs et simples que l’enfant peut aisément comprendre »), ainsi qu’un droit à l’oubli « par défaut » dans le cadre des traitements de Données Personnelles de mineurs sur les services l’information, complètent les pourtours d’un consentement par tous.        

Avec près de 70 occurrences du terme « consentement » dans le RGPD, contre seulement une douzaine dans la Directive, l’inflation lexicologique témoigne de l’importance donnée au consentement par le régulateur. Pour autant, cette importance textuelle revêt plus de la pédagogie sur une notion qui put être dénaturée ou galvaudée par le passé, que d’un favoritisme quelconque pour l’une des six bases légales possibles.

3. Les régulateurs européens seraient-ils des obsédés textuels ?

Au travers des Lignes Directrices, et avant même l’entrée en vigueur du RGPD le 25 mai 2018, les régulateurs européens chargés de son application ont annoncé la teneur de leurs efforts — l’interprétation de la notion de consentement : elle sera très stricte, ou elle ne sera pas.

Si nous pouvons louer l’effort pédagogique des régulateurs européens afin de préciser les contours d’un consentement valide, l’importance volumétrique disproportionnée ne saurait ex post attribuer au consentement une place à part au sein d’un ensemble de bases légales potentielles que le RGPD n’impose pas.

A cela s’ajoutent les interprétations locales par les autorités de chaque État Membre des caractéristiques essentielles du consentement. Alors même que le RGPD ambitionnait de parfaire la Directive et d’enfin harmoniser un Marché Unique des Données Personnelles, il semblerait qu’une concurrence administrative entre les autorités nationales génère une escalade dans la création de conditions supplémentaires.

Ainsi, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a-t-elle prononcé le 21 janvier 2019 la sanction la plus élevée à ce jour (50 millions d’euros) à l’aune du RGPD à l’encontre de Google — notamment sur le fondement du consentement. Retenu comme base légale par Google, ce consentement n’était pour la CNIL pas valablement recueilli, par défaut de caractère suffisamment éclairé, spécifique et univoque. Pourtant, cette interprétation (et, dans la même veine, la procédure très médiatisée autour de Vectaury) repose sur une conception subjective du régulateur français de ce qu’il considère être les attentes des publics concernés.

A suivre le régulateur français, la quantité d’information nécessaire préalablement à un consentement valable annihilerait l’ambition (et le besoin) d’une information claire et compréhensible.

4. La « consent fatigue », ou la mort annoncée du consentement ?

Par peur d’une « fabrique du consentement », pour reprendre l’expression de Noam Chomsky et Edward Herman[8], le RGPD a strictement encadré la notion de consentement. De ce traitement particulier, les régulateurs européens en ont déduit, et disséminé, une prévalence particulière. Partant, les régulateurs nationaux semblent aujourd’hui ajouter des conditions de validités spécifiques.

Si les personnes concernées ont pu, par le passé et par facilité, ignorance ou incompréhension, donner leur consentement au traitement de leurs Données Personnelles, de manière générique et généralisée, sans réfléchir aux conséquences de cette acceptation, elles semblent à présent, par cette même facilité, ignorance ou incompréhension, refuser en bloc tout le traitement de leurs Données Personnelles dès lors qu’un consentement leur est demandé.

Dans le même temps, les conditions, souples, et conséquences, absolues, du consentement, tel qu’appréhendé outre-Atlantique, viennent perturber le paysage numérique. En effet, la pratique américaine du contrat-roi et du « comprendre et accepter » dans des conditions générales par trop prolixes, attribuent une position proéminente au consentement.

Les deux acceptions du consentement, européenne d’une part et américaine de l’autre, se retrouvent aujourd’hui dans l’arène. Entre demande systématique des responsables du traitement et refus systématique des personnes concernées, c’est l’économie générale d’un internet libre qui menace de s’écrouler.

Ainsi a-t-on pu voir se multiplier depuis plus d’un an des justifications de mises en œuvre de traitements de Données Personnelles en subsidiarité : d’abord le consentement, et s’il n’est pas valable, alors un intérêt légitime.

Bien loin de générer un filet de sécurité, cette approche « ceinture-et-bretelles », qui témoigne d’un manque de compréhension des exigences du RGPD, malgré l’effort pédagogique susvisé, est du pain béni pour les régulateurs européens.

En définitive, s’il peut paraître familier et séduisant, le consentement, version RGPD, n’est pas l’ami, ni des responsables de traitement, ni même des personnes concernées…

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019 avec Anaïs Ligot


[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Directive »)

[2] Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »)

[3] Article 6 du RGPD

[4] Article 4.11 du RGPD (« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »)

[5] Groupe de travail “Article 29”, Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018 (« Lignes Directrices »)

[6] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[7] Article 2.h de la Directive (« Toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement »)

[8] Edward S. Herman et Noam Chomsky, « La Fabrication du consentement : De la propagande médiatique en démocratie », Agone, 16 octobre 2008, version traduite par Dominique Arias de Herman, Edward S.; Chomsky, Noam. « Manufacturing Consent« , New York: Pantheon Books.

You can follow any responses to this entry through the RSS 2.0 Responses are currently closed, but you can trackback.