G29, Guidelines on Consent under Regulation 2016/679, WP259
Le Groupe de l’Article 29 (G29) a rendu public, le 12 décembre 2017, son projet de lignes directrices sur le consentement tel que réglementé par le RGPD. Ces lignes directrices font l’objet d’une consultation publique jusqu’au 23 janvier 2018, consultation à l’issue de laquelle elles pourront faire l’objet d’aménagements.
Le plan du document
G29, Guidelines on Consent under Regulation 2016/679, WP259
Les lignes directrices portent sur les points suivants :
- La notion de consentement tel que prévu à l’article 4 (11) du RGPD ;
- Les conditions de validité du consentement (librement donné, spécifique, informé, inconditionné) ;
- Les informations à fournir ;
- L’interaction entre le consentement et les bases légales du traitement prévues à l’article 6 ;
- Les problématiques spécifiques, notamment le consentement des enfants, la recherche scientifique, et les droits des personnes concernées ;
- Le consentement obtenu sous l’empire de la directive 95/46/CE ;
- Questions fréquemment posées (section qui sera intégrée à l’issue de la consultation).
Les points importants à retenir
- Le consentement valide doit être libre et inconditionné[1]. Le G29 rappelle que le consentement n’est pas valide si la personne concernée n’a pas de véritable choix ou que l’absence de consentement entraîne des conséquences négatives pour lui. En cas de déséquilibre entre la personne concernée et le responsable de traitement, le G29 préconise une approche au cas par cas.
- Le consentement doit être exprimé par un acte positif dénué d’ambiguïté. Le G29 recommande aux responsables de traitement de développer des procédures adaptées et donne quelques exemples de la façon dont le consentement peut être donné tel que le « swipe » (passer le doigt sur un écran), l’acquiescement devant une caméra, mouvement du smartphone dans le sens des aiguilles d’une montre ou en huit.
- Lorsque le traitement des données à caractère personnel est effectué pour plusieurs finalités, chaque finalité doit être distincte et le consentement doit être obtenu pour chacune d’entre elles.
- Le consentement doit nécessairement intervenir avant toute activité de traitement.
- La base de licéité ne peut pas être modifiée au cours du traitement : les responsables de traitement qui fondent la licéité de leur traitement sur la base du consentement ne peuvent pas se fonder sur une autre base légale en l’absence de consentement ou de preuve du consentement.
Le G29 exige des responsables de traitement une évaluation en détail des processus actuels afin de s’assurer que tous les consentements existants répondent au RGPD. Étant donné que le RGPD introduit de nouvelles exigences, il est probable que les responsables de traitement aient à modifier leurs mécanismes de consentement et à réécrire leurs politiques de confidentialité. Le G29 stipule que tous les consentements présumés, sur une forme implicite, par exemple une case d’opt-in pré cochée, au lieu d’une action affirmative claire, ne seront pas considérés comme valides en vertu du RGPD.
Il est possible de présenter des commentaires auprès du G29 sur ce document jusqu’au 23 janvier 2018. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
[1] Pour rappel, l’article 4 (11) du RGPD définit le « consentement » de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »