Le consentement au traitement

L’essentiel : la loi impose que le traitement ait reçu le consentement des personnes dont les données sont traitées, ou que le responsable s’inscrive dans l’une des exceptions prévues par la loi.

 

Précédent : Le principe de temporalité

 

Le consentement

1. – La loi impose enfin de recueillir préalablement le consentement des personnes concernées par le traitement des données personnelles. L’obligation imposée est qu’un « traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes (…) ».

2. – Le principe posé reste toutefois d’application molle en raison des cinq larges dérogations prévues par la loi, telles que :

« 1° Le respect d’une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

_5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée _».

L’interprétation de ces exceptions doit être réalisée de manière très stricte, afin de limiter les risques juridiques susceptibles de naître de conflits d’interprétation. En particulier l’interprétation du 5° doit être réalisée avec la plus grande prudence car sa formulation est large.

On peut citer quelques exemples liés aux exceptions prévues :

  • 1° : exceptions tenant aux obligations de déclaration en matière fiscale (obligation de dénonciation en matière de blanchiment dont sont titulaires les banques par exemple)
  • 2° : traitements réalisés pour la recherche d’organes susceptibles d’être greffés, dans l’hypothèse où la personne est dans l’incapacité de donner son consentement.
  • 3° : traitements réalisés dans les fichiers de police, lorsqu’ils ne contiennent pas de données sensibles (d’autres dispositions s’appliquent alors, cf. art. 8).
  • 4° : données collectées pour l’ouverture d’un contrat d’assurance.

**3. – **La loi reste également muette quant à la manière de prouver l’acquisition du consentement des personnes au traitement. Le recours à l’écrit reste sans doute la solution la plus solide dans l’hypothèse d’un conflit, mais tout type de procédé permet de s’en assurer : cases à cocher, email de validation, etc. La CNIL reste toutefois très rigoureuse sur ces procédés et estime par exemple qu’une case pré-cochée est contraire à la loi (violation des principes de consentement et de loyauté).

4. – Sans sanctionner directement la violation de cette obligation, ce principe trouve une correspondance pénale au sein de l’article 226-18-1 du Code pénal. Ce dernier, en effet, sanctionne : « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300.000 € d’amende».

Le plan de l'article :

- Les principes essentiels
- Le principe de loyauté
- Le principe de finalité
- Le principe de proportionnalité
- L'exactitude des données
- Le principe de temporalité
- Le consentement au traitement

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)