Menu Fermer

Selon la législation européenne, pour être valide, un consentement doit être libre, éclairé, spécifique et univoque.

Le 6 mai 2020, le Comité européen de la protection des données (le «CEPD») a publié ses lignes directrices 05/2020 sur le consentement au regard du règlement général de l’UE sur la protection des données (le «RGPD»).

Les lignes directrices du CEPD sont une version mise à jour des lignes directrices du groupe de travail de l’article 29 sur le consentement qui précisent néanmoins certains points non abordés, notamment par rapport à l’usage d’un cookie wall. ou le consentement comme base légale complémentaire dans le cadre de la proposition de biens ou de services.

Consentement et Cookie Wall

En ce qui concerne les murs de cookies (ou cookiewall), les lignes directrices du CEPD stipulent que ce type de mécanismes – qui empêchent les utilisateurs qui n’acceptent pas l’utilisation de cookies d’accéder à un site ou à une application mobile – sont illégaux, car le consentement obtenu de cette manière ne peut être considéré comme librement accordé.

« Le CEPD estime que le consentement ne peut pas être considéré comme libre si [un site Web] fait valoir qu’un choix existe entre, d’une part, l’accès à son service qui implique le consentement à l’utilisation de données personnelles, et, d’autre part, un service équivalent offert par un tiers. […] Ce qui signifie qu’un prestataire ne peut empêcher les personnes concernées d’accéder à un service au motif qu’elles n’y consentent pas », détaille le paragraphe 38 des lignes directives actualisées au 4 mai 2020 du CEPD. 

De même, les directives du CEPD indiquent que le fait de faire défiler ou de parcourir une page Web ou une activité utilisateur similaire ne constitue pas une action positive qui remplit les conditions d’un consentement valide en vertu du RGPD. Cette pratique ne permet pas non plus de retirer facilement le consentement, de l’avis du CEPD, et ne doit pas être utilisée.

Les sites « doivent concevoir des mécanismes de consentement clairs pour les personnes concernées, […] éviter toute ambiguïté et faire en sorte que l’action par laquelle le consentement est donné puisse être distinguée d’autres actions. 
Par conséquent, le simple fait de continuer à utiliser un site Web n’est pas un comportement à partir duquel on peut déduire une volonté de la personne concernée de signifier son accord au traitement de ses données
 », précise le document dans le paragraphe 86. 

Ces clarifications sont conformes à la décision de la Cour de justice de l’Union européenne dans l’affaire Planet 49 et les récentes directives des autorités européennes de protection des données sur le consentement aux cookies

Consentement et accès à des biens ou services

Plus généralement, lorsque des données à caractère personnel sont traitées par un responsable du traitement pour la fourniture de biens ou de services la base légale est en principe l’exécution d’un contrat.

Toutefois, le consentement peut être utilisé comme base légale complémentaire (mais distincte) si le responsable du traitement veut utiliser les données des personnes concernées traitées dans ce cadre pour des traitements supplémentaires qui ne sont pas indispensables à l’exécution du contrat.. (Par exemple l’envoi d’une newsletter.)

Le refus (ou le retrait) d’une demande de consentement par la personne concernée dans ce cadre ne peut en aucun cas avoir de conséquences négatives pour la personne concernée notamment en ce qui concerne son accès aux biens et services.

Si c’était le cas alors ceci constituerait la preuve que consentement n’est pas valide au regard du RGPD étant donné qu’il n’est pas libre et distinct des traitements reposant sur l’exécution d’un contrat. (Par exemple si le refus de s’abonner à la newsletter entraîne une restriction d’accès aux biens et services ou d’autres désavantages pour la personne concernée).

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter via la section “me contacter” du blog.

fr_FRFrançais