swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le CEPD clarifie ses lignes directrices en matière de consentement

Eva Cellina, le 27 septembre 2020
Le CEPD clari­fie ses lignes direc­trices en matière de consen­te­ment au sens du RGPD et précise que (i) l’utilisation de « cookie walls » par le four­nis­seur de site web ne permet pas d’obtenir un consen­te­ment valide de l’utilisateur et que (ii) le défi­le­ment ou la pour­suite de la navi­ga­tion d’une page web par l’utilisateur ne doit pas être assi­milé à un consen­te­ment clair et univoque de ce dernier.
Comité euro­péen à la protec­tion des données (CEPD), Lignes direc­trices 05/​2020 sur le consen­te­ment au sens du Règlement 2016/​679, Version 1.1, adop­tées le 4 mai 2020 (dispo­nibles unique­ment en anglais à ce jour)

 

Le 4 mai 2020, le CEPD a mis à jour ses lignes direc­trices en matière de consen­te­ment au sens du RGPD. Ces lignes direc­trices avaient initia­le­ment été adop­tées, puis modi­fiées, par le Groupe de travail « article 29 », remplacé par le CEPD depuis l’entrée en force du RGPD.

À titre limi­naire, il convient de rappe­ler que le consen­te­ment est l’un des motifs justi­fi­ca­tifs permet­tant de justi­fier un trai­te­ment de données (art. 6 RGPD). Il est défini comme toute mani­fes­ta­tion de volonté, libre, spéci­fique, éclai­rée et univoque par laquelle la personne concer­née accepte, par une décla­ra­tion ou par un acte posi­tif clair, que des données à carac­tère person­nel la concer­nant fassent l’ob­jet d’un trai­te­ment (art. 4 par. 11 RGPD).

Ainsi, la personne concer­née doit être infor­mée de manière claire et complète du trai­te­ment de ses données, ainsi que de la manière dont ses données seront traitées.

Dans ses lignes direc­trices, le CEPD a réaf­firmé les exigences liées au consen­te­ment au sens du RGPD en matière de cookies et a fourni des clari­fi­ca­tions concer­nant la vali­dité du consen­te­ment face à un « cookie wall » (mur de cookies) et en cas de défi­le­ment et de pour­suite de navi­ga­tion par l’internaute.

L’utilisation de « cookie walls » consiste à inté­grer au site web des bandeaux ou des fenêtres qui bloquent l’accès de l’internaute au service souhaité, à moins que ce dernier ne donne son consentent global pour l’utilisation de l’ensemble des cookies.

Le RGPD prévoit que pour déter­mi­ner si le consen­te­ment est donné libre­ment, il y a lieu de tenir compte de la ques­tion de savoir, entre autres, si l’exé­cu­tion d’un contrat, y compris la four­ni­ture d’un service, est subor­don­née au consen­te­ment au trai­te­ment de données à carac­tère person­nel qui n’est pas néces­saire à l’exécution dudit contrat (art. 7 par. 4 RGPD).

Le CEPD précise que pour que le consen­te­ment soit libre­ment donné, l’accès par l’utilisateur aux services et fonc­tion­na­li­tés ne doit pas être subor­donné à son accep­ta­tion au stockage de ses données ou à l’accès à des infor­ma­tions déjà stockées sur son termi­nal (N 39).

Ainsi, le fait pour un four­nis­seur de site web de mettre en place un méca­nisme bloquant l’accès au contenu du site web tant que l’internaute n’a pas cliqué sur « accep­ter les cookies » ne permet pas d’offrir à ce dernier un véri­table choix. En effet, s’il souhaite pour­suivre sa navi­ga­tion, l’internaute n’a pas d’autre choix que d’accepter les cookies et, partant, le trai­te­ment de ses données person­nelles, quand bien même ce trai­te­ment n’est pas indis­pen­sable au four­nis­seur de site web pour offrir ses services et fonc­tion­na­li­tés. Par consé­quent, son consen­te­ment n’est pas valide, dans la mesure où il n’est pas libre­ment donné.

Le consi­dé­rant 32 du RGPD prévoit que le consen­te­ment doit être donné par un acte posi­tif clair par lequel la personne concer­née mani­feste de façon libre, spéci­fique, éclai­rée et univoque son accord au trai­te­ment de ses données person­nelles. Ce même consi­dé­rant précise que :

« cela pour­rait se faire notam­ment en cochant une case lors de la consul­ta­tion d’un site inter­net, en optant pour certains para­mètres tech­niques pour des services de la société de l’in­for­ma­tion ou au moyen d’une autre décla­ra­tion ou d’un autre compor­te­ment indi­quant clai­re­ment dans ce contexte que la personne concer­née accepte le trai­te­ment proposé de ses données à carac­tère person­nel. Il ne saurait dès lors y avoir de consen­te­ment en cas de silence, de cases cochées par défaut ou d’inactivité. »

L’art. 7 par. 3 RGPD prévoit que la personne concer­née doit pouvoir reti­rer son consen­te­ment à tout moment et de manière aussi simple qu’elle l’a donné.

Le CEPD a clari­fié la portée du consi­dé­rant 32 du RGPD et a précisé que le défi­le­ment d’une page web ou la pour­suite de la navi­ga­tion ne doit pas être assi­milé à une mani­fes­ta­tion de volonté claire et univoque de l’utilisateur de consen­tir au trai­te­ment de ses données person­nelles. En effet, dans un tel cas, le carac­tère univoque du consen­te­ment ne peut être admis, ce d’autant plus qu’il serait diffi­cile d’offrir à l’utilisateur un moyen pour reti­rer son consen­te­ment aussi simple­ment qu’en le donnant (N 39).

Les clari­fi­ca­tions du CEPD sur la notion de consen­te­ment sont alignées avec la déci­sion de la Cour de justice de l’Union euro­péenne (CJUE) dans l’affaire C‑673/​17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. c. /​ Planet49 GmbH. Cette déci­sion prévoyait que l’utilisation de cookies néces­si­tait le consen­te­ment actif des inter­nautes et préci­sait qu’une case cochée par défaut était insuf­fi­sante (pour une analyse de l’arrêt, voir David Rosenthal, Cookies  : comment la CJUE lutte-t-elle contre la menta­lité du «  cliquer et fermer sans regar­der  », in : www​.lawin​side​.ch/​8​83/).



Proposition de citation : Eva Cellina, Le CEPD clarifie ses lignes directrices en matière de consentement, 27 septembre 2020 in www.swissprivacy.law/6


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Application de rencontre et communication illicite de données à des fins publicitaires
  • Cookies Walls – La nouvelle arnaque aux données
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law