Le consentement est une notion capitale en droit des données à caractère personnel.
En effet, la Loi informatique et libertés adoptée le 6 janvier 1978 était l’unique loi française qui encadrait le traitement des données personnelles en France avant l’entrée en vigueur du règlement exigeant aux entreprises de se mettre en conformité RGPD.
Cette loi consacrait d’ores et déjà la notion de consentement. L’article 7 en vigueur entre le 7 août 2004 et le 25 mai 2018 énonçait que le traitement de données à caractère personnel devait recevoir le consentement de la personne concernée ou satisfaire l’une des conditions énoncées par ce dit article.
Le Règlement général européen sur la protection des données a repris cette notion.
Ce règlement s’applique au traitement des données à caractère personnel réalisé à l’aide de procédés automatisés, ou non.
L’article 4 point 11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le consentement est-il obligatoire ?
Règle générale
L’article 6 du RGPD énonce les cas pour lesquels le traitement des données à caractère personnel est considéré comme licite. Le point a) de cet article dispose que lorsque la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, le traitement des données est considéré comme licite.
Le consentement des personnes concernées n’est pas obligatoire pour que le traitement des données à caractère personnel soit considéré comme licite lorsque l’une des conditions suivantes est remplie :
- Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Les données sensibles
Lorsque les données collectées revêtent un caractère sensible, leur traitement est alors interdit, conformément à l’article 9 du RGPD. On entend par données sensibles les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, biométriques aux fins d’identifier une personne physique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Néanmoins, l’article 9 du RGPD énonce des exceptions. Le traitement de ces données est possible si l’une des conditions énoncées par le deuxième paragraphe de cet article est remplie.
Le consentement explicite de la personne concernée au traitement de ces données à caractère personnel constitue une exception à l’interdiction de traiter des données personnelles sensibles.
Les données des personnes mineures
L’article 8 du RGPD et l’article 45 de la Loi informatique et libertés énonce qu’un mineur de quinze ans peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information. Le mineur est supposé capable de consentir ou non à certaines fonctionnalités telles que l’enregistrement des cookies.
Cependant, lorsque le mineur est âgé de moins de quinze ans, les titulaires de l’autorité parentale ainsi que le mineur concerné doivent donner conjointement leur consentement pour que le traitement des données à caractère personnel soit considéré comme étant licite.