En droit de la protection des données, le consentement apparaît comme la première et la plus importante de toutes les bases légales d’un traitement de données à caractère personnel. En effet, le consentement confère aux personnes concernées, une maîtrise sur le traitement de leurs données en leur offrant une option : consentir au traitement ou non ! Le terme « maîtriser » renvoie alors à l’un des enjeux essentiels du RGPD : l’affirmation d’une plus grande maîtrise par l’individu du devenir de ses données personnelles…
Le RGPD le définit comme « toute manifestation de volonté, libre, spécifique, éclairée et “univoque” par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »
Sur la « manifestation de volonté libre » :
Ce critère suppose un « choix et un contrôle réel pour les personnes concernées », c’est-à-dire que le consentement ne doit pas être contraint ni influencé. Aussi, le consentement ne sera pas considéré comme étant donné librement si la personne concernée n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
Le RGPD ajoute le terme de déséquilibre manifeste qui peut intervenir, en pratique, lorsque le responsable du traitement est une autorité publique, ou encore dans le cadre d’une relation de subordination qui existe entre employé et employeur. Si ces situations n’excluent pas obligatoirement le recours au consentement en tant que base juridique du traitement, d’autres bases juridiques semblent plus appropriées (en l’espèce, exécution d’une mission d’intérêt public ou contrat de travail).
Sur le caractère « spécifique » du consentement :
Un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Autrement dit, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités.
Cette condition vient en réalité limiter les risques de détournement de finalité qui constitue une infraction visée à l’article 226-21 du Code pénal (puni de cinq ans d’emprisonnement et de 300 000 euros d’amende).
Sur le caractère « éclairé » du consentement :
N’est ni plus ni moins que l’application stricte du devoir d’information et du principe de transparence qui incombent au responsable du traitement. Pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations transmises à la personne avant qu’elle ne consente (finalités du traitement, bases légales, destinataires des données, durées de conservation, etc).
Sur le caractère “univoque” du consentement :
Le RGPD précise qu’un consentement valable nécessite une manifestation de volonté “univoque”, par une déclaration ou par un acte positif clair. A titre d’illustration, un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site web. Plus précisément, le consentement ne peut être donné « en cas de silence, de cases cochées par défaut ou d’inactivité » : ainsi, qui ne dit mot ne consent plus et qui consent doit le montrer de manière active !