01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Vie Privée, Protection des données : ce qui va changer en 2016 – Partie 1 – le consentement de la personne

Fotolia 78819447 Subscription Monthly M

Par Gérard HAAS et Stéphane ASTIER, avocats à la Cour

2016 s’annonce comme l’année de tous les changements en matière de législation pour la protection des données à caractère personnel.

Précurseur en la matière avec sa loi de 1978 « informatique et libertés »[1], l’Etat Français se prépare activement à une nouvelle étape déterminante dans la construction d’un droit à part entière ; un droit tourné vers une conciliation nécessaire entre le développement des nouvelles technologies et la préservation des libertés publiques des citoyens.

Le projet de règlement Européen[2] du 25 janvier 2012 modifié le 11 juin 2015 constitue le moteur de cette grande réforme qui devrait bouleverser de nombreux secteurs.

A l’heure du déploiement des technologies dites de Big Data[3], de la mutation accélérée des solutions de marketing comportemental et des transferts de fichiers, un ensemble de règles nouvelles s’apprête à être adopté.

Parmi les grands changements à appréhender la consolidation de la notion du consentement des personnes apparaît comme l’un des axes principaux de ce projet de Règlement :

 

La place du consentement au cœur du projet de règlement Européen

 

La législation Européenne entend faire du consentement, le socle de cette réforme. : « le consentement devrait demeurer l’élément clé de l’approche de la protection des données de l’Union européenne, puisqu’il s’agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement des données » (…) « il devrait être aussi simple de retirer son consentement que de le donner »[4].

  • Renforcement de la définition du consentement

Le projet de règlement européen prévoit de définir le consentement comme « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement »

Ainsi, désormais, pour que la personne soit réputée avoir accepté la collecte de ses données, elle doit le faire de manière « explicite » et « par une déclaration ou par un acte positif univoque », précision que l’on ne retrouvait pas dans la directive n°95/46 du 24 octobre 1995.

Cette exigence du consentement est donc une exigence centrale du dispositif impliquant un formalisme renforcé : « le consentement devrait être donné sans ambiguïté, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration écrite, y compris électronique, ou une déclaration orale, soit, si des circonstances spécifiques le requièrent, en tout autre acte positif univoque de la personne concernée indiquant qu’elle accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement »[5].

 

  • Renforcement du principe d’Opt-In

L’article 6 du projet de règlement européen prévoit, à l’instar de article 7 de la Directive n°95/46 du 24 octobre 1995, que « le traitement de données à caractère personnel n’est licite que si, et dans la mesure où [notamment] la personne concernée a consenti sans ambiguïté au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».

Quatre précisions capitales sont ajoutés[6], que l’on ne trouve ni dans la Directive de 95, ni dans la directive du 12 juillet 2002, ni dans la loi informatique et libertés, s’agissant de la mise en œuvre du principe du consentement:

La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel repose sur le responsable du traitement.

2° Si le consentement de la personne concernée est requis dans le contexte d’une déclaration écrite qui concerne également une autre affaire, l’exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire.

3° La personne concernée a le droit de retirer son consentement à tout moment (cela remet seulement en cause la licéité du traitement de données à venir). Il s’agit là d’une grande nouveauté introduite par le projet de règlement européen.

4° Le consentement ne constitue pas un fondement juridique valable lorsqu’il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.

 

A ces règles devrait être vraisemblablement ajouté le principe suivant lequel la validité du consentement est subordonnée à la finalité du traitement[7].

 

A retenir : Le projet de règlement européen prévoit que, nonobstant sa sollicitation dans les règles, le consentement de la personne concernée n’est jamais définitif en matière de traitement de données à caractère personnel : il peut être retiré à tout moment / sa validité est liée à une finalité déterminée

 

  • La prise en compte de l’intégrité du consentement

Alors que la Directive adoptée en 1995 exigeait seulement que le consentement de la personne concernée existe, le projet de règlement européen va plus loin. Le législateur Européen prévoit qu’en plus d’exister, le consentement devra être intègre :

« pour garantir que le consentement soit libre, il y aurait lieu de préciser qu’il ne constitue pas un fondement juridique valable si la personne ne dispose pas d’une véritable liberté de choix et n’est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice »[8].

Une telle avancée dans la protection de la personne visée par le traitement suppose toutefois de se poser la question suivante : Dans quelles hypothèses le consentement de la personne concernée pourrait-il ne pas être éclairé ?

Le projet de règlement prévoit sur ce point que « le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second »[9].

Le principe du consentement ne s’appliquera que dans l’hypothèse où le responsable du traitement et la personne concernée sont sur un pied d’égalité; à tout le moins dès lors qu’il n’existe pas de lien de dépendance entre les deux. A défaut, le consentement ne suffit pas. Le traitement de données à caractère personnel ne pourra se faire que s’il existe un autre fondement.

 

  • Renforcement de l’obligation d’information

Le pendant du principe du consentement est l’obligation d’information. Ainsi, le projet de règlement européen a-t-il considérablement renforcé cette obligation.

Alors que dans la législation antérieure on en comptait à peine six, le projet de règlement en prévoit plus d’une quinzaine.

Parmi ces nouvelles informations qui doivent être communiquées par le responsable du traitement à la personne concernée, sont notamment envisagées à l’article 14 dudit projet, les informations relatives à :

  • l’existence du droit de retirer le consentement à tout moment
  • l’existence d’un profilage, de mesures fondées sur le profilage et aux effets escomptés du profilage sur la personne concernée
  • la logique qui sous-tend tout traitement automatisé

 

*******

Le projet de Règlement, dont l’adoption est attendue en 2016 va donc profondément renforcer la notion même de consentement de la personne et impacter l’ensemble des traitements de données à caractère personnel.

Obligation de prouver l’existence du consentement, de son caractère valide, du lien entre le consentement donné et la finalité du traitement mis en œuvre peuvent être source d’insécurité juridique pour les responsables non préparés à cette réforme.

Afin de cantonner ce risque, les professionnels du droit sont amenés à intervenir aux côtés des responsables de traitement dans le cadre d’audits et d’études d’impact qui consistent à :

  • délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  • identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  • apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées,
  • formuler des recommandations de consolidation afin de traiter ces impacts de manière proportionnée.

 

Vous souhaitez en savoir plus sur les prestations d’audit et d’étude d’impact ? Cliquez ICI

 

Lire la suite : « Vie privée, Protection des données : ce qui va changer en 2016 (partie 2 : quel droit pour le profilage) Cliquez ICI.

« Vie privée, Protection des données : ce qui va changer en 2016 (partie 3 : une obligation de sécurité renforcée) Cliquez ICI

 

 

[1] Cf. http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

[2] Cf. http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/fr/pdf

[3] Cf. https://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/?nabe=5279665716461568:1&utm_referrer=https%3A%2F%2Fwww.google.fr%2F

[4] Op.Cit.

[5] Cf. le considérant 25 du projet de Règlement

[6] Cf. Art. 7 du projet de Règlement

[7] L’article 7, 4° du projet de règlement européen, amendé par le parlement, prévoit ainsi que « le consentement est lié à la finalité et devient caduc lorsque cette finalité n’existe plus ou dès que le traitement des données à caractère personnel n’est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées

[8] Cf. Considérant n°33

[9] Cf. Considérant n°34

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com