Le RGPD définit le consentement comme une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par un acte positif, le traitement de ses données à caractère personnel.
Dans son avis, le G29 examine ce que ces quatre conditions de validité impliquent précisément, et conclut que – pour être valable – le consentement doit :
- Être donné librement : un réel choix et un certain degré de contrôle de la personne sur le traitement des données à caractère personnel. Le consentement ne sera pas valable s’il y a un déséquilibre de force entre le responsable du traitement et la personne concernée – comme c’est le cas dans le cadre d’un contrat de travail – ou lorsque l’exécution d’une convention est subordonnée à l’octroi du consentement. En outre, le consentement doit être donné pour chacune des finalités séparément. Enfin, la personne concernée doit pouvoir refuser de donner son consentement, ou pouvoir le retirer sans que cela ne puisse avoir de conséquences défavorables.
- Etre spécifique : selon le G29, le consentement n’est spécifique que si le responsable du traitement explique le but du traitement, demande un consentement distinct dans le cas d’un traitement avec plusieurs finalités, et distingue clairement les informations relatives à la réception du consentement à un traitement de données, des informations relatives à d’autres questions
- Etre éclairé : le consentement ne peut – selon le G29 – être éclairé que si les informations suivantes ont, au minimum, été fournies à la personne concernée :
- l’identité du responsable du traitement ;
- le but de chaque traitement pour lequel le consentement est demandé ;
- le type de données qui sera collecté et utilisé ;
- le droit de retirer le consentement ;
- les informations sur l’utilisation des données dans le cadre d’une prise de décision automatisée ;
- les risques potentiels d’un transfert de données à caractère personnel vers des pays tiers en dehors de l’EEE.
- Etre univoque : le consentement doit être donné par un acte ou une déclaration positif duquel le consentement ressort clairement, comme une signature sur un formulaire ou un clic sur un écran. Ce qu’on appelle les « cases pré-cochées » ou les accords implicites ne sont désormais plus possibles.
J Ernoux,
