Par Jean Philippe Souyris et Théo Renaudie
A propos de la décision CJUE, 11 novembre 2020, C-61/19
La Cour de justice de l’Union européenne a à nouveau dû se prononcer sur la case précochée.
Le 1er octobre 2019, déjà, la Cour avait exposé que la case précochée ne répondait pas à la nécessité d’un consentement actif de l’utilisateur au dépôt de cookies sur son terminal utilisateur (CJUE, 1er octobre 2019, C-673/17).
1. Le consentement aux cookies
Le 11 novembre 2020, sollicitée par le Tribunal de Bucarest d’une question préjudicielle, il n’est plus question de site web ni de cookies mais de contrats et de copies de pièces d’identité.
En l’espèce, un opérateur de communications électroniques collectait une copie des pièces d’identité de ses clients qu’il annexait à leur contrat.
Une clause d’information générale au contrat prévoit, entre autres, que le client déclare avoir été informé et avoir donné son consentement en ce qui concerne « la conservation de copies des actes contenant des données à caractère personnel à des fins d’identification ».
En regard de cette clause, une case : l’opérateur explique que cette case est cochée par ses agents de vente une fois qu’ils ont informé le client et recueilli son accord oral. Si jamais le client ne consent pas, il doit alors compléter un formulaire, lui-même cette fois-ci, et le retourner à l’opérateur.
Les faits se sont déroulés avant l’entrée en vigueur du RGPD : c’est donc sur le fondement de la directive 95/46 que l’autorité roumaine de protection des données personnelles (ANSPDCP) a prononcé une amende et enjoint la destruction des titres d’identité par une décision du 28 mars 2018. Toutefois, rien ne démontrant qu’il a effectivement été donné suite à cette injonction : saisie d’une question relative au litige né de la sanction, la CJUE a répondu tant sur le fondement de l’ancienne directive que du nouveau règlement permettant une transposition aisée de sa réponse aux traitements actuels.
2. La case pré-cochée est-elle un consentement valable ?
La question posée à la CJUE par le tribunal de Bucarest peut se résumer ainsi :
La clause à un contrat de services selon laquelle la personne concernée a été informée et a consenti au traitement d’une copie de son titre d’identité à des fins d’identification vaut-elle consentement au sens du RGPD (et de la directive) alors que :
- La case relative à cette clause a été cochée par le responsable du traitement,
- Le contrat n’informe pas clairement la personne qu’elle peut y souscrire sans consentir à la clause,
- La personne doit remplir un formulaire supplémentaire pour refuser son consentement à la clause ?
La Cour répond évidemment par la négative au visa de l’article 6, §1, a) et de l’article 4, 11). du RGPD (respectivement art. 7 et 2, h. de la directive 95/46) :
Si l’article 6, §1, a) prévoit effectivement que le consentement est l’une des bases légales propre à emporter la licéité d’un traitement de données, ce n’est qu’à la condition que celui-ci corresponde à la définition de l’article 4, 11) du RGPD , à savoir la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
La preuve que le consentement réunit ces qualités incombe au responsable de traitement (art. 6 et 7 RGPD).
Le raisonnement de la Cour est donc le suivant :
- La nécessité de devoir remplir un formulaire distinct pour refuser de donner son consentement ne caractérise pas une manifestation de volonté libre de consentir.
- La coche se rapportant à l’acceptation d’une clause d’information générale et non précisément au consentement au traitement ne caractérise pas une manifestation de volonté spécifique.
- La clause qui se borne à indiquer le traitement des titres d’identité aux fins d’identification du client n’est pas une information suffisante pour un consentement éclairé.
- La coche d’une case par le responsable de traitement, et non le client, n’est pas un acte positif clair de la part de celui dont les données sont traitées.
Ainsi, sous réserve pour le juge roumain d’apprécier d’autres éléments, telle la preuve (non rapportée en l’espèce) que la clause a été lue et assimilée comme l’invoquait l’opérateur, un tel contrat ne témoigne pas du consentement de la personne dont les données sont traitées.
***
L’interprétation du cadre protecteur des données personnelles est de plus en plus étayée par la jurisprudence mais il devient également de plus en plus complexe de s’y retrouver.
Le cabinet HAAS avocats accompagne les acteurs du numérique depuis plus de 20 ans dans leur conformité au droit des données personnelles, il est triplement labellisé par la CNIL et dispose d’une spécialisation en droit des nouvelles technologies.
Afin de rédiger vos politiques de confidentialité et assurer la conformité de votre activité, n’hésitez pas à nous contacter.