swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La CJUE épingle l’opérateur Orange România sur sa pratique consistant à collecter des documents d’identité par défaut

Eva Cellina et Livio di Tria, le 17 janvier 2021
La Cour de justice de l’Union euro­péenne précise les moda­li­tés rela­tives à la récolte du consen­te­ment tel que prévu par le Règlement géné­ral sur la protec­tion des données.

Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 11 novembre 2020, C‑61/​19, ECLI :EU :C :2020 :901 (Orange Romania).

Ces derniers mois, la Cour de justice a eu l’opportunité de se pronon­cer en rela­tion avec plusieurs affaires dont la pomme de discorde prin­ci­pale fut la protec­tion des données. En novembre 2020, la Cour de justice a précisé les moda­li­tés à respec­ter s’agissant du recueil du consen­te­ment au sens du RGPD. Le présent arrêt s’inscrit dans la lignée de l’arrêt « Planet49 », une autre affaire datant d’octobre 2019 dans laquelle la Cour de justice avait égale­ment eu l’occasion de se déter­mi­ner sur les moda­li­tés à respec­ter s’agissant du recueil du consen­te­ment lors de l’utilisation de cookies.

La présente affaire a trait à un recours intro­duit auprès du Tribunal de grande instance de Bucarest par le four­nis­seur roumain de services de télé­com­mu­ni­ca­tion Orange România contre une déci­sion de l’auto­rité roumaine de protec­tion des données (ANSDPCP) pronon­cée le 28 mars 2018. Cette déci­sion a été infli­gée à Orange România qui, suite à la conclu­sion de contrats portant sur des services de télé­com­mu­ni­ca­tion mobile, a conservé des copies de titres d’identité de ses nouveaux clients sans avoir démon­tré, selon l’autorité, que les clients avaient vala­ble­ment donné leur consen­te­ment. La conclu­sion de ces contrats a eu lieu durant la période s’étalant du 1er au 26 mars 2018, soit deux mois avant la pleine appli­ca­bi­lité du RGPD.

Parmi les clauses perti­nente des contrats figu­raient une mention selon laquelle le client était informé et donnait son consen­te­ment à la conser­va­tion de docu­ments offi­ciels conte­nant des données person­nelles à des fins d’identification. Cette mention était couplée à une case à cocher que le client devait remplir. Toutefois, et après examen par le Tribunal buca­res­tois, certains contrats conte­naient déjà une croix dans la case à cocher, alors que dans d’autres, un telle croix faisait défaut.

Au vu de ce qui précède, deux ques­tions préju­di­cielles sensi­ble­ment liées, puisque ayant trait aux moda­li­tés du consen­te­ment, ont été posées à la Cour de justice. La première a trait aux condi­tions qui doivent être remplies pour que l’on puisse consi­dé­rer qu’une mani­fes­ta­tion de volonté soit « spéci­fique » et « infor­mée ». La seconde concerne pour sa part les condi­tions à respec­ter pour que cette mani­fes­ta­tion soit consi­dé­rée comme « libre­ment exprimée ».

La Cour de justice précise avant tout que la Directive 95/​46 s’applique ratione tempo­ris à l’affaire, puisque la déci­sion de l’auto­rité roumaine de protec­tion des données a été adop­tée en mars 2018, préa­la­ble­ment à la pleine appli­ca­bi­lité du RGPD. Toutefois, la déci­sion conte­nait à la fois le prononcé d’une amende, mais égale­ment une injonc­tion à l’égard d’Orange România lui impo­sant la destruc­tion des titres d’identité récol­tés. L’opérateur n’ayant vrai­sem­bla­ble­ment pas donné suite à cette injonc­tion, la Cour de justice a estimé que le RGPD était dans le présent cas égale­ment applicable.

Modalités du consentement

S’agissant des moda­li­tés de la récolte du consen­te­ment en droit euro­péen, la Cour de justice rappelle que la Directive 95/​46, selon son art. 2 let. h, défi­nit le consen­te­ment comme « toute mani­fes­ta­tion de volonté, libre, spéci­fique et infor­mée par laquelle la personne concer­née accepte que des données à carac­tère person­nel la concer­nant fassent l’objet d’un trai­te­ment ». En sus, la personne concer­née doit avoir « indu­bi­ta­ble­ment donné son consen­te­ment » selon l’art. 7 let. h de la Directive 95/​46.

S’agissant du RGPD, la défi­ni­tion du consen­te­ment est pour sa part plus stricte comme le souligne la Cour de justice. Celui-ci requiert, confor­mé­ment à l’art. 6 par. 1 let. a RGPD, une mani­fes­ta­tion de volonté « libre, spéci­fique, éclai­rée et univoque » prenant la forme d’une décla­ra­tion ou d’un acte posi­tif clair. Ainsi, le consen­te­ment tel que prévu par le RGPD néces­site un compor­te­ment actif de la personne dont les données sont trai­tées. Sur cette notion de compor­te­ment actif, le consi­dé­rant 32 RGPD amène un éclai­rage bien­venu en excluant que celui-ci soit donné « en cas de silence, de cases cochées par défaut ou d’inactivité. ».

La Cour de justice rappelle égale­ment que le fardeau de la preuve d’un tel consen­te­ment incombe au respon­sable du trai­te­ment confor­mé­ment à l’art. 7 par. 1 RGPD et à l’art. 6 par. 1 let. a et par. 2 Directive 95/​46.

Dans le cas d’espèce, la Cour de justice consi­dère que les clients ne semblent pas avoir pu mani­fes­ter, par un compor­te­ment actif, leur consen­te­ment étant donné que la case à cocher était déjà cochée, ce qui ne permet pas d’établir que la clause en ques­tion a été lue et assimilée.

En outre, la Cour de justice analyse égale­ment la notion de consen­te­ment « spéci­fique ». Cette notion doit être comprise dans le sens où la mani­fes­ta­tion de volonté doit porter sur le trai­te­ment de données. Autrement dit, la demande de consen­te­ment en lien avec un trai­te­ment de données qui est faite dans le cadre d’une décla­ra­tion écrite géné­rale, soit qui ne concerne pas unique­ment le trai­te­ment de données, se doit d’être présen­tée sous une forme qui la distingue clai­re­ment de ces autres ques­tions. Sur ce point, la Cour de justice laisse à la juri­dic­tion de renvoi le soin d’analyser si l’incorporation de cette case à cocher rela­tive au trai­te­ment de données au sein d’un contrat se rappor­tant à une plura­lité de clauses contrac­tuelles peut être consi­déré comme mani­fes­tant un consen­te­ment spécifique.

Finalement, le carac­tère « libre » du consen­te­ment appa­raît égale­ment comme problé­ma­tique pour la Cour de justice, notam­ment au vu de la pratique d’Orange România d’exiger une décla­ra­tion écrite des clients s’opposant à la collecte de leur titre d’identité. Pour la Cour de justice, une telle décla­ra­tion écrite consti­tue une exigence supplé­men­taire de nature à affec­ter indû­ment le libre choix de s’opposer à la collecte. De plus, les clients ne sont pas infor­més des consé­quences d’un refus à la collecte et conser­va­tion des copies de leurs pièces d’identité sur la conclu­sion d’un contrat avec Orange România. Ainsi, le client est suscep­tible d’être induit en erreur quant à la possi­bi­lité de conclure le contrat en ques­tion même en refu­sant le trai­te­ment desdites données.

Licéité du traitement

Cet arrêt traite des moda­li­tés de recueil du consen­te­ment, celui-ci étant la condi­tion choi­sie par Orange România pour collec­ter et trai­ter des titres d’identité. Comme le rappelle la Cour de justice, qu’il s’agisse de la Directive 95/​46 ou du RGPD, tous les deux prévoient une liste exhaus­tive des cas dans lesquels un trai­te­ment de données peut être consi­déré comme licite (à cet égard, voir l’art. 7, respec­ti­ve­ment l’art. 6). Le système retenu par le droit euro­péen est fonda­men­ta­le­ment diffé­rent du système suisse, selon lequel un trai­te­ment de données person­nelles n’est par per se illi­cite (art. 12 LPD a fortiori).

Si l’arrêt analyse de manière appro­fon­die les moda­li­tés entou­rant le recueil du consen­te­ment, celui-ci reste silen­cieux quant aux autres condi­tions permet­tant de justi­fier un trai­te­ment de données confor­mé­ment à l’art. 7 de la Directive 95/​46 ou à l’art. 6 RGPD. La ques­tion reste ouverte, mais est-ce qu’Orange România aurait pu récol­ter ces titres d’identité sur la base de la néces­sité contrac­tuelle, d’un inté­rêt légi­time, voire d’une obli­ga­tion légale ?

À titre de compa­rai­son, il est inté­res­sant de souli­gner qu’en droit suisse, les four­nis­seurs de services de télé­com­mu­ni­ca­tion doivent, dans le cadre de services de commu­ni­ca­tion mobile (p.ex. conclu­sion d’un nouveau contrat de télé­pho­nie mobile, portage d’un numéro auprès d’un nouveau four­nis­seur), véri­fier l’identité de l’usager notam­ment au moyen d’un passe­port ou d’une carte d’identité. En addi­tion à ce contrôle, le four­nis­seur de services de télé­com­mu­ni­ca­tion se doit de conser­ver une copie lisible du docu­ment d’identité en ques­tion. Cette obli­ga­tion légale repose sur l’art. 20 de l’Ordonnance fédé­rale du 15 novembre 2017 sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion.



Proposition de citation : Eva Cellina / Livio di Tria, La CJUE épingle l’opérateur Orange România sur sa pratique consistant à collecter des documents d’identité par défaut, 17 janvier 2021 in www.swissprivacy.law/50


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Cookies Walls – La nouvelle arnaque aux données
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law