La Cour de justice de l’Union euro­péenne précise les moda­li­tés rela­tives à la récolte du consen­te­ment tel que prévu par le Règlement géné­ral sur la protec­tion des données.

Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 11 novembre 2020, C‑61/​19, ECLI :EU :C :2020 :901 (Orange Romania).

Ces derniers mois, la Cour de justice a eu l’opportunité de se pronon­cer en rela­tion avec plusieurs affaires dont la pomme de discorde prin­ci­pale fut la protec­tion des données. En novembre 2020, la Cour de justice a précisé les moda­li­tés à respec­ter s’agissant du recueil du consen­te­ment au sens du RGPD. Le présent arrêt s’inscrit dans la lignée de l’arrêt « Planet49 », une autre affaire datant d’octobre 2019 dans laquelle la Cour de justice avait égale­ment eu l’occasion de se déter­mi­ner sur les moda­li­tés à respec­ter s’agissant du recueil du consen­te­ment lors de l’utilisation de cookies.

La présente affaire a trait à un recours intro­duit auprès du Tribunal de grande instance de Bucarest par le four­nis­seur roumain de services de télé­com­mu­ni­ca­tion Orange România contre une déci­sion de l’auto­rité roumaine de protec­tion des données (ANSDPCP) pronon­cée le 28 mars 2018. Cette déci­sion a été infli­gée à Orange România qui, suite à la conclu­sion de contrats portant sur des services de télé­com­mu­ni­ca­tion mobile, a conservé des copies de titres d’identité de ses nouveaux clients sans avoir démon­tré, selon l’autorité, que les clients avaient vala­ble­ment donné leur consen­te­ment. La conclu­sion de ces contrats a eu lieu durant la période s’étalant du 1^er au 26 mars 2018, soit deux mois avant la pleine appli­ca­bi­lité du RGPD.

Parmi les clauses perti­nente des contrats figu­raient une mention selon laquelle le client était informé et donnait son consen­te­ment à la conser­va­tion de docu­ments offi­ciels conte­nant des données person­nelles à des fins d’identification. Cette mention était couplée à une case à cocher que le client devait remplir. Toutefois, et après examen par le Tribunal buca­res­tois, certains contrats conte­naient déjà une croix dans la case à cocher, alors que dans d’autres, un telle croix faisait défaut.

Au vu de ce qui précède, deux ques­tions préju­di­cielles sensi­ble­ment liées, puisque ayant trait aux moda­li­tés du consen­te­ment, ont été posées à la Cour de justice. La première a trait aux condi­tions qui doivent être remplies pour que l’on puisse consi­dé­rer qu’une mani­fes­ta­tion de volonté soit « spéci­fique » et « infor­mée ». La seconde concerne pour sa part les condi­tions à respec­ter pour que cette mani­fes­ta­tion soit consi­dé­rée comme « libre­ment exprimée ».

La Cour de justice précise avant tout que la Directive 95/​46 s’applique ratione tempo­ris à l’affaire, puisque la déci­sion de l’auto­rité roumaine de protec­tion des données a été adop­tée en mars 2018, préa­la­ble­ment à la pleine appli­ca­bi­lité du RGPD. Toutefois, la déci­sion conte­nait à la fois le prononcé d’une amende, mais égale­ment une injonc­tion à l’égard d’Orange România lui impo­sant la destruc­tion des titres d’identité récol­tés. L’opérateur n’ayant vrai­sem­bla­ble­ment pas donné suite à cette injonc­tion, la Cour de justice a estimé que le RGPD était dans le présent cas égale­ment applicable.

Modalités du consentement

S’agissant des moda­li­tés de la récolte du consen­te­ment en droit euro­péen, la Cour de justice rappelle que la Directive 95/​46, selon son art. 2 let. h, défi­nit le consen­te­ment comme « toute mani­fes­ta­tion de volonté, libre, spéci­fique et infor­mée par laquelle la personne concer­née accepte que des données à carac­tère person­nel la concer­nant fassent l’objet d’un trai­te­ment ». En sus, la personne concer­née doit avoir « indu­bi­ta­ble­ment donné son consen­te­ment » selon l’art. 7 let. h de la Directive 95/​46.

S’agissant du RGPD, la défi­ni­tion du consen­te­ment est pour sa part plus stricte comme le souligne la Cour de justice. Celui-ci requiert, confor­mé­ment à l’art. 6 par. 1 let. a RGPD, une mani­fes­ta­tion de volonté « libre, spéci­fique, éclai­rée et univoque » prenant la forme d’une décla­ra­tion ou d’un acte posi­tif clair. Ainsi, le consen­te­ment tel que prévu par le RGPD néces­site un compor­te­ment actif de la personne dont les données sont trai­tées. Sur cette notion de compor­te­ment actif, le consi­dé­rant 32 RGPD amène un éclai­rage bien­venu en excluant que celui-ci soit donné « en cas de silence, de cases cochées par défaut ou d’inactivité. ».

La Cour de justice rappelle égale­ment que le fardeau de la preuve d’un tel consen­te­ment incombe au respon­sable du trai­te­ment confor­mé­ment à l’art. 7 par. 1 RGPD et à l’art. 6 par. 1 let. a et par. 2 Directive 95/​46.

Dans le cas d’espèce, la Cour de justice consi­dère que les clients ne semblent pas avoir pu mani­fes­ter, par un compor­te­ment actif, leur consen­te­ment étant donné que la case à cocher était déjà cochée, ce qui ne permet pas d’établir que la clause en ques­tion a été lue et assimilée.

En outre, la Cour de justice analyse égale­ment la notion de consen­te­ment « spéci­fique ». Cette notion doit être comprise dans le sens où la mani­fes­ta­tion de volonté doit porter sur le trai­te­ment de données. Autrement dit, la demande de consen­te­ment en lien avec un trai­te­ment de données qui est faite dans le cadre d’une décla­ra­tion écrite géné­rale, soit qui ne concerne pas unique­ment le trai­te­ment de données, se doit d’être présen­tée sous une forme qui la distingue clai­re­ment de ces autres ques­tions. Sur ce point, la Cour de justice laisse à la juri­dic­tion de renvoi le soin d’analyser si l’incorporation de cette case à cocher rela­tive au trai­te­ment de données au sein d’un contrat se rappor­tant à une plura­lité de clauses contrac­tuelles peut être consi­déré comme mani­fes­tant un consen­te­ment spécifique.

Finalement, le carac­tère « libre » du consen­te­ment appa­raît égale­ment comme problé­ma­tique pour la Cour de justice, notam­ment au vu de la pratique d’Orange România d’exiger une décla­ra­tion écrite des clients s’opposant à la collecte de leur titre d’identité. Pour la Cour de justice, une telle décla­ra­tion écrite consti­tue une exigence supplé­men­taire de nature à affec­ter indû­ment le libre choix de s’opposer à la collecte. De plus, les clients ne sont pas infor­més des consé­quences d’un refus à la collecte et conser­va­tion des copies de leurs pièces d’identité sur la conclu­sion d’un contrat avec Orange România. Ainsi, le client est suscep­tible d’être induit en erreur quant à la possi­bi­lité de conclure le contrat en ques­tion même en refu­sant le trai­te­ment desdites données.

Licéité du traitement

Cet arrêt traite des moda­li­tés de recueil du consen­te­ment, celui-ci étant la condi­tion choi­sie par Orange România pour collec­ter et trai­ter des titres d’identité. Comme le rappelle la Cour de justice, qu’il s’agisse de la Directive 95/​46 ou du RGPD, tous les deux prévoient une liste exhaus­tive des cas dans lesquels un trai­te­ment de données peut être consi­déré comme licite (à cet égard, voir l’art. 7, respec­ti­ve­ment l’art. 6). Le système retenu par le droit euro­péen est fonda­men­ta­le­ment diffé­rent du système suisse, selon lequel un trai­te­ment de données person­nelles n’est par per se illi­cite (art. 12 LPD a fortiori).

Si l’arrêt analyse de manière appro­fon­die les moda­li­tés entou­rant le recueil du consen­te­ment, celui-ci reste silen­cieux quant aux autres condi­tions permet­tant de justi­fier un trai­te­ment de données confor­mé­ment à l’art. 7 de la Directive 95/​46 ou à l’art. 6 RGPD. La ques­tion reste ouverte, mais est-ce qu’Orange România aurait pu récol­ter ces titres d’identité sur la base de la néces­sité contrac­tuelle, d’un inté­rêt légi­time, voire d’une obli­ga­tion légale ?

À titre de compa­rai­son, il est inté­res­sant de souli­gner qu’en droit suisse, les four­nis­seurs de services de télé­com­mu­ni­ca­tion doivent, dans le cadre de services de commu­ni­ca­tion mobile (p.ex. conclu­sion d’un nouveau contrat de télé­pho­nie mobile, portage d’un numéro auprès d’un nouveau four­nis­seur), véri­fier l’identité de l’usager notam­ment au moyen d’un passe­port ou d’une carte d’identité. En addi­tion à ce contrôle, le four­nis­seur de services de télé­com­mu­ni­ca­tion se doit de conser­ver une copie lisible du docu­ment d’identité en ques­tion. Cette obli­ga­tion légale repose sur l’art. 20 de l’Ordonnance fédé­rale du 15 novembre 2017 sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion.