L’acceptation d’un contrat contenant une case cochée ne suffit pas à établir la démonstratif d’un consentement actif

Arrêt de la CJUE du 11 novembre 2020 (C61/19, Orange România SA) : L’acceptation d’ un contrat contenant une case cochée  ne suffit pas à établir la démonstratif d’un consentement actif .

« Éclairé ». Tel est le maître mot présidant à la nature du consentement recueilli par tout responsable de traitement lors de la collecte et la conservation des données personnelles des utilisateurs.

Cette notion, désormais ancrée tant au regard de l’article 2 de la Directive CE 95/46 que de l’article 4 du RGPD,  rappellent que la personne concernée par un traitement de données  procède à une « manifestation de volonté » afin de donner « indubitablement » son consentement

La jurisprudence de la Cour de la Justice avait d’ailleurs récemment rappelé que cette manifestation ne pouvait se traduire que par « un comportement actif de la part de la personne »[1].

Une telle définition vise à rappeler au bon souvenir des  acteurs du numérique, l’existence de garanties imposées à ces derniers tant par les directives de l’Union que par le RGPD dans cette course effrénée vers l’or moderne.

Tel est notamment le cas de la nature du consentement donné par les consommateurs à une clause faisant mention de la conservation d’une copie de leur titre d’identité à des fins d’identification, et dont la case relative à cette clause, avait déjà été cochée par le responsable de traitement avant que les clients ne procèdent à la signature portant acceptation de toutes les clauses contractuelles.

L’occasion pour la Cour de Justice de rappeler dans la décision commentée, la nécessité, pour les responsables de traitement, d’obtenir un consentement « actif » faisant état d’une « manifestation de volonté libre, spécifique et informée » lors de la signature de contrats relatifs à la fourniture de services de télécommunications.

  1. Les faits

La société Orange România fournit des services de télécommunications mobiles sur le marché roumain.

Par décision du 28 mars 2018, l’Autorité de Protection des données personnelles Roumaine (l’ANSPDCP), a condamné la Orange România au paiement d’une amende à raison de la conservation par ses soins de copies de titres d’identité de ses clients sans avoir démontré que ces derniers y avaient valablement consenti.

Au terme de cette décision, l’ANSPDCP avait relevé que, pendant la période allant du 1er au 26 mars 2018,la société Orange România avait, lors de la conclusion de contrats de fourniture de services de télécommunication annexé les copies des titres d’identité de ses clients.

Or, l’Autorité de Protection des données personnelles Roumaine ne trouvait pas la trace d’un consentement valable concernant la collecte et la conservation de copies des titres d’identité des clients de la société Orange România.

L’ANSPDCP relevait ainsi que certaines clauses du contrat pré-établissaient une connaissance par le client de plusieurs informations clés de la future relation contractuelle ainsi que le consentement de celui-ci au traitement de données suivant :

« (…) le traitement des données à caractère personnel aux fins prévues à l’article 1.15 des conditions générales pour l’utilisation des services d’Orange ;

– la conservation de copies des actes contenant des données à caractère personnel à des fins d’identification ;

– l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) à des fins de marketing direct ;

– l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) aux fins de la réalisation d’études de marché ;

–(…) l’accord exprès à la conservation de copies des actes contenant des données à caractère personnel sur l’état de santé (…)»[2]

Orange România a par la suite introduit un recours devant le Tribunal de Grande Instance de Bucarest aux fins de contester la décision du 28 mars 2018.

A l’occasion de ce recours, la juridiction Roumaine ayant procédé à l’examen des contrats souscrits par les clients de la société Orange România, a constaté que certains d’entre eux prévoyaient l’insertion d’une croix dans une case concernant la conservation de copies d’actes relatifs à des données personnelles.

Plus surprenant encore, le Tribunal relevait qu’en dépit des stipulations de ses conditions générales, la société Orange România procédait à la conclusion de contrats d’abonnement avec des clients ayant expressément refusé de consentir à la conservation de la copie de leurs titres d’identité[3].

C’est dans ce contexte que le Tribunal de Grande Instance de Bucarest a sollicité de la Cour de justice qu’elle puisse préciser les conditions dans le consentement des clients au traitement de données à caractère personnel peut être considéré comme valable.

  1. L’arrêt rendu par la CJUE

Raisonnant ratione temporis tant à la lumière de la directive 95/46, que du RGPD,  la Cour de Justice rappelle que les articles 7 de la directive et 6 du règlement  prévoient une liste exhaustive des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite, comprenant notamment le cas où la personne intéressée consent à celui-ci[4].

Encore faut-il que celui-ci soit néanmoins libre, spécifique et issue de la volonté « par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement »[5].

Se référant à l’article 4, point 11, du RGPD , qui définit le « consentement de la personne concernée » de manière encore plus stricte que celui de la directive 95/46, la Cour rappelle que le consentement de la personne concernée doit être « libre, spécifique, éclairée et univoque » qui ne peut se manifester que par le biais « d’une déclaration ou d’«un acte positif clair » marquant son acceptation du traitement des données à caractère personnel la concernant ».

Cet acte positif clair pourrait se traduire par le fait de cocher une case lors de la consultation d’un site internet par exemple, dès lors qu’il implique l’activité de l’internaute en toute connaissance de cause.

En revanche, un tel consentement ne saurait se déduire « de cases cochées par défaut ou d’inactivité ».

Visant sa propre jurisprudence[6], la Cour de Justice rappelle que l’absence de manifestation écrite de l’utilisateur empêche de « déterminer de manière objective si l’utilisateur d’ un site internet a effectivemment donné son consentement au traitement des données personnelles en ne décochant pas une case préalablement cochée par défaut »[7].

De même, une telle pratique ne permet aucunement de s’assurer que le consommateur a donné son consentement en toute connaissance de cause, dès lors que celui-ci peut être amené à ne pas avoir lu l’information selon laquelle le Responsable de traitement procéderait par défaut à l’utilisation des données collectées pour les finalités précitées « voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite ».

C’est donc bien la notion de consentement « actif » qui occupe, dans le présent débat, une place centrale.

En outre, la Cour a remarqué que la société Orange România exigeait de ses clients un refus actif au traitement de leur données, lequel devait se matérialiser par une déclaration écrite indiquant qu’ils ne consentaient ni à la collecte ni à la conservation de la copie de leur titre d’identité.

Une remarque plus que judicieuse, lorsque l’on constate que la société Orange România faisait fi de la notion de consentement actif pour créer celle de « refus actif ».

Or, une telle condition était non seulement de nature à « à affecter indument le libre choix de s’opposer à cette collecte et à cette conservation »[8] mais visait également à dévoyer la notion de consentement visée à l’article 4 du RGPD.

La Cour rappelle ainsi que le responsable de traitement ne peut détourner à sa convenance les règles posées par le RGPD et qu’il lui incombe uniquement d’établir que ses clients ont, par un comportement actif, manifesté leur consentement au traitement de leurs données à caractère personnel ».

Bien sur, une telle problématique n’est pas nouvelle puisque la Haute juridiction communautaire avait déjà été amenée rappeler que le consentement d’un internaute au titre du dépôt de cookies sur un terminal informatique ne pouvait être valable si celui-ci est issue d’une case cochée par défaut[9].

Pour autant, cet arrêt vient renforcer la nécessité pour les responsables de traitement d’obtenir un consentement « actif » de leurs clients, lequel ne peut être obtenu par l’emploi d’une manœuvre consistant à cocher une case à l’abri des regards indiscrets.

Il sera donc nécessaire en pratique que les responsables de traitement puissent assurer une réelle liberté de choix à leurs clients, et que les stipulations contractuelles ne viennent pas induire ces derniers en erreur quant à la possibilité de conclure un contrat même si ces derniers refuseraient de consentir au traitement de leurs données.

Une exigence renforcée qui nécessitera davantage de minutie dans la rédaction contractuelle mais qui apparaît désormais indispensable pour préserver les droits à la vie privée de l’utilisateur.

[1] CJUE, 1er octobre 2019, Planet49, C‐673/17, Points 52 et 53

[2] Point 23 de l’arrêt

[3] Point 25 de l’arrêt

[4] Point 34 de l’arrêt

[5] Point 35 de l’arrêt

[6] arrêt du 1er octobre 2019, Planet49, C‑673/17,EU:C:2019:801, points 55 et 57

[7] Point 37 de l’arrêt

[8] Point 50 de l’arrêt

[9] CJUE, 1er oct. 2019, aff. C-673/17, Planet49 

Besoin d'un avocat ? Contactez-nous !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *