Le G29 a publié, le 28 novembre dernier, ses guidelines sur la notion de consentement telle qu’entendue par le RGPD. Celles-ci sont encore soumises à consultation.
Il note dans un premier temps que le consentement constitue l’une des 6 conditions de licéité du traitement listées à l’article 6 du RGPD. Il est également défini à l’article 4 comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le G29 affirme que le concept de consentement sous le RGPD reste similaire à celui de la Directive 95/46/EC.
Le caractère « libre » du consentement implique, pour le G29, un contrôle et un choix réel de la part des personnes concernées. Si ces personnes se sentent contraintes de consentir, ou subiraient des conséquences négatives si elles ne consentent pas, le consentement n’est pas valide. De même, si le consentement fait partie d’une offre globale, en tant que partie non-négociable d’un contrat, il n’est pas libre. La personne concernée doit également être capable de retirer son consentement, sans tort.
Du fait du déséquilibre des pouvoirs existant entre les personnes concernées et les autorités publiques, il est peu probable, mais pas totalement exclu, pour le G29 que ces dernières puissent s’appuyer sur le consentement pour justifier leurs traitements. Il en est de même pour l’employeur dans le cadre de son rapport avec ses salariés, du fait de leur état de dépendance.
Le consentement doit également être « spécifique », ce qui signifie qu’il doit être lié à un ou plusieurs objectifs spécifiques, que la personne concernée peut choisir, le terme « spécifique » visant à assurer un certain degré de contrôle et de transparence pour la personne concernée. Le consentement peut couvrir plusieurs opérations différentes, dès lors qu’elles ont le même objectif. Le responsable de traitement doit, à ce titre :
- spécifier les objectifs du traitement de façon à ce qu’il n’y ait pas d’utilisation détournée des données ;
- compartimenter les demandes de consentement ;
- séparer clairement les informations dédiées à l’obtention du consentement pour le traitement des informations dédiées à d’autres sujets.
Le consentement, en ce qu’il doit être « informé », suppose que la personne concernée ait pris connaissance :
- de l’identité du responsable du traitement ;
- des fins de chaque opération de traitement pour laquelle le consentement est sollicité ;
- le type de donné qui est collecté et utilisé ;
- l’existence du droit à rétracter son consentement ;
- les informations relatives à l’utilisation des données pour des décisions basées uniquement sur un traitement automatisé, ce qui inclut le profilage ;
- le cas échéant, des risques relatifs aux transferts de données vers des pays tiers en l’absence de décision d’adéquation et de garanties appropriées.
Ces guidelinescomprennent également des éléments relatifs à l’obtention du consentement explicite, de la nécessité d’être en mesure de démontrer le consentement ou encore de l’interaction entre le consentement et les autres fondements de l’article 6 du RGPD.
