[PDF] DOSSIER DE DEMANDE D ADMISSION EN ETABLISSEMENT D HEBERGEMENT POUR PERSONNES AGEES DEPENDANTES
[PDF] TUTORIEL Qualit Eval. Introduction :
[PDF] RÈGLEMENTATION THERMIQUE : RT2012/BBC :
[PDF] PORTNET GUIDE UTILISATEUR OPERATEUR
[PDF] PROCES VERBAL DE LA SEANCE DU BUREAU DU 12 MAI 2011
[PDF] Les effets de la drogue
[PDF] Ceci n est pas une drogue?
[PDF] CAHIER DES CHARGES. Réalisation de site internet AGENCE W3G. Nom de l'entreprise : Adresse : Tel : email : Contact :
[PDF] Crédit d impôt remboursable pour la production d évènements ou d environnements multimédias présentés à l extérieur du Québec TABLE DES MATIÈRES
[PDF] Règles Générales de Sécurité et Santé
[PDF] Coiffure et professions connexes
[PDF] Formation horaire CFF et Ticket Shop.
[PDF] Maîtrise universitaire (master) bi-disciplinaire
[PDF] REGLEMENT DE SINISTRES I.COMMENTAIRES
[PDF] Collège le Champ de la Motte (37130 Langeais) Sciences de la Vie et de la Terre (Agnès RIVIERE) Physique-Chimie (Nicolas HERBERT)
Protection des données à caractère personnel : le consentement à l'épreuve de
l'ère numériqueAuteur : Lifrange, MariePromoteur(s) : Thirion, NicolasFaculté : Faculté de Droit, de Science Politique et de CriminologieDiplôme : Master en droit, à finalité spécialisée en mobilité interuniversitaireAnnée académique : 2017-2018URI/URL : http://hdl.handle.net/2268.2/4888Avertissement à l'attention des usagers : Tous les documents placés en accès ouvert sur le site le site MatheO sont protégés par le droit d'auteur. Conformément
aux principes énoncés par la "Budapest Open Access Initiative"(BOAI, 2002), l'utilisateur du site peut lire, télécharger,
copier, transmettre, imprimer, chercher ou faire un lien vers le texte intégral de ces documents, les disséquer pour les
indexer, s'en servir de données pour un logiciel, ou s'en servir à toute autre fin légale (ou prévue par la réglementation
relative au droit d'auteur). Toute utilisation du document à des fins commerciales est strictement interdite.Par ailleurs, l'utilisateur s'engage à respecter les droits moraux de l'auteur, principalement le droit à l'intégrité de l'oeuvre
et le droit de paternité et ce dans toute utilisation que l'utilisateur entreprend. Ainsi, à titre d'exemple, lorsqu'il reproduira
un document par extrait ou dans son intégralité, l'utilisateur citera de manière complète les sources telles que
mentionnées ci-dessus. Toute utilisation non explicitement autorisée ci-avant (telle que par exemple, la modification du
document ou son résumé) nécessite l'autorisation préalable et expresse des auteurs ou de leurs ayants droit.
DépartementdeDroit Protection des données à caractère personnel : le consentement à l'épreuve de l'ère numérique Marie LIFRANGE Travail de fin d'études Master en droit à finalité spécialisée en droit des affaires Année académique 2017-2018 Recherche menée sous la direction de : Monsieur Nicolas THIRION Professeur ordinaire
RESUME Ces dernières années, le respect de l a vie privée s'est vu de plus en pl us menacé par le développement exponentiel des nouveaux système s d'information et de colle cte de s données personnelles. L'Union européenne est alors intervenue, plus de vingt ans après sa première législation en matière de protection des données à caractère personnel, en adoptant le 27 avril 2016 un nouveau règlement. L'un des principaux changements apportés réside dans la notion de consentement, mode de légitimation du traitement des données personnelles. La présente contribution vise à déterminer si le consentement, mécanisme juridique datant de l'antiquité, constitue toutefois un outil approprié à la protection des données personnelles face à l'environnement numérique d'aujourd'hui. Notre travail se scindera en deux grandes parties. En premier lieu, plusieurs aspects de la protection des données personnelles seront abordés : la genèse législative, les enjeux économiques et politiques, les principales définitions. Dans la seconde partie, nous présenterons les différentes modifications apportées au consentement. Nous envisagerons ensuite les critiques émises à son égard, tant empiriques que juridiques tout en relativisant celles-ci. Nous terminerons notre travail sur quelques pistes de réflexion autour du consentement.
2
3 REMERCIEMENTS Je tiens à remercier tout d'abord le professeur Nicolas Thiron pour sa disponibilité et son attention dans la supervision et l'encadrement de ce travail. Ces remarques pertinentes et ses conseils avisés furent essentielles pour l'acheminement de ce travail. Je remercie tout particulièrement mon père pour avoir suscité mon intérêt dans ce domaine et pour ses précieuses relectures. Je remercie ma mère pour son soutien inconditionnel durant ces cinq années d'études.
4
5 TABLE DES MATIERES INTRODUCTION ...................................................................................................................................... . 8 I. LA PROTECTION DES DONNÉES PERSONNELLES EN EUROPE ........................... . 8 A) CADRE JURIDIQUE DE LA PROTECTION DES DONNÉES PERSONNELLES ............. . 10 1) ORIGINE ....................................................................................................................................................... . 10 2) LE CONSEIL DE L'EUROPE ....................................................................................................................... . 10 2.1. La Convention européenne des droits de l'Homme ...................................................................... . 10 2.2. Convention n°108 ............................................................................................................................... . 11 3) L'UNION EUROPEENNE ............................................................................................................................. . 12 3.1. Les directives relatives à la protection des données à caractère personnel ................................ . 13 3.1.1. Directive 95/46/CE .................................................................................................................... . 13 3.1.2. Directive 2002/58/CE ................................................................................................................ . 13 3.2. La Charte des droits fondamentaux de l'Union européenne ......................................................... . 14 3.3. Le nouveau règlement relatif à la protection des données à caractère personnel ..................... . 15 B) DÉFINITIONS ET ENJEUX DE LA PROTECTION DES DONNÉES PERSONNELLES . . 16 1) GENERALITES ............................................................................................................................................ . 16 1.1. Définition d'une donnée personnelle ................................................................................................ . 16 1.2. Définition d'un traitement ................................................................................................................. . 17 2) ENJEUX DE LA PROTECTION DES DONNEES PERSONNELLES ............................................................ . 17 2.1. Enjeux économiques ........................................................................................................................... . 17 2.2. Enjeux politiques et sociétaux ........................................................................................................... . 18 II. LE CONSENTEMENT COMME OUTIL DE PROTECTION DES DONNÉES PERSONNELLES ? ................................................................................................................................... . 19 A) LA NOTION DE CONSENTEMENT DANS LA PROTECTION DES DONNÉES PERSONNELLES ......................................................................................................................................... . 19 1) GENERALITES ............................................................................................................................................. . 19 2) ANCIEN REGIME DE LA DIRECTIVE 95/46/CE ...................................................................................... . 20 2.1. Définition et caractéristiques du consentement ............................................................................... . 20 2.2. Particularité des données sensibles .................................................................................................. . 20 2.3. Faiblesse de la notion de consentement ........................................................................................... . 21 3) INTERVENTION DU GROUPE DE TRAVAIL 29 ...................................................................................... . 21 3.1. Modalités du consentement ............................................................................................................. . 22 3.1.1. Utilisation adéquate du consentement ........................................................................................ . 22 3.1.2. Moment où le consentement est donné ..................................................................................... . 22 3.1.3. Forme du consentement ............................................................................................................ . 22 3.1.4. Le consentement dans la directive 2002/58/CE ........................................................................ . 23 3.2. Caractéristiques du consentement .................................................................................................. . 23 3.2.1. Un consentement libre .............................................................................................................. . 23 3.2.2. Un consentement spécifique ..................................................................................................... . 24 3.2.3. Un consentement informé ......................................................................................................... . 24 3.2.4. Un consentement indubitable ..................................................................................................... . 25
6 4) CHANGEMENTS APPORTES AU CONSENTEMENT SOUS LE NOUVEAU REGLEMENT 2016/679 ... . 26 4.1. Définition du consentement ............................................................................................................... . 26 4.2. Charge de la preuve ............................................................................................................................. . 26 4.3. Déséquilibre significatif ..................................................................................................................... . 27 4.4. Consentement informé ........................................................................................................................ . 27 4.5. Protection renforcée des personnes vulnérables ............................................................................. . 27 4.6. Droit de retirer son consentement ...................................................................................................... . 28 B) REMISE EN QUESTION DE LA NOTION DE CONSENTEMENT COMME OUTIL DE PROTECTION À L'ÉGARD DES DONNÉES PERSONNELLES .......................................... . 29 1) REMISE EN CAUSE DU CONSENTEMENT ................................................................................................. . 29 1.1. Les limites du consentement à l'ère numérique .................................................................................. . 29 1.1.1. Absence de maîtrise intellectuelle ............................................................................................... . 29 1.1.2. Surcharge de demande et d'information ..................................................................................... . 30 1.1.3. Absence de choix significatif ....................................................................................................... . 31 1.1.4. Privacy Paradox .............................................................................................................................. . 32 2) RELATIVISATION DU CARACTERE ILLUSOIRE DU CONSENTEMENT ............................................... . 32 2.1. Obligations contraignantes à charge des acteurs du traitement ........................................................ . 33 2.1.1. Principes de licéité, loyauté et transparence ...................................................................................... . 33 2.1.2. Principe de limitation des finalités .................................................................................................... . 34 2.1.3. Principe de minimisation .................................................................................................................. . 34 2.1.4. Principe d'exactitude ........................................................................................................................ . 35 2.1.5. Principe de conservation ................................................................................................................... . 35 2.1.6. Principes d'intégrité et de confidentialité ......................................................................................... . 35 2.2. Autres droits conférés aux personnes concernées ............................................................................... . 36 3) REFLEXION AUTOUR DU CONSENTEMENT ............................................................................................ . 36 3.1. Innovations technologiques infinies et solutions juridiques limitées ............................................... . 36 3.2. L'intelligence artificielle comme complément à l'arsenal juridique ? ............................................. . 38 CONCLUSION ............................................................................................................................................ . 40 BIBLIOGRAPHIE ..................................................................................................................................... . 43
8 INTRODUCTION " On n'a pas tout dit du consentement quand on a dit qu'il est sympathie et sourire d'un être humain à un autre. Le sourire ne dure pas toujours et les difficultés restent au juriste » J. Carbonnier, Droit civil. Le marché européen est confronté à de nouveaux enjeux commerciaux à l'ère numérique. Le développement exponentiel des technologi es de l'information et de la com munication interpelle en ce qu'il permet une intrusion m assive dans la vie privé e des citoyens, des consommateurs. Ces innovations favorisent l'extraction de ce que l'on nomme aujourd'hui le nouvel or noir du 21ème siècle : les données personne lles, nouve l eldorado des grandes entreprises. Les discussions à c e sujet ne se sont pas fait attendre, pointant dè s lors l a complexité sous-jacente au traitement des données. La législation européenne doit faire face à deux intérêts distincts : l'un économique et l'autre personnel. Dans cet environnement, le consentement du sujet constitue-t-il toujours un moyen appropri é à la protecti on de se s données ? La notion de consentement est depuis toujours une notion cruciale dans la pensée juridique occidentale. Il n'est donc pas surprenant de constater que la nouvelle législation en matière de protection des données personnelles se soit essentiellement axée sur une clarification de la portée du consenteme nt afin de renforcer la maîtrise des citoyens sur leurs données personnelles. L'Europe adopte ainsi un modèle juridique humaniste en plaçant le sujet de droit, l'individu, au centre de sa législation1. Nous examinerons la problématique posée en scindant notre travail en deux parties distinctes. La première partie consiste à trace r la genèse législ ative de la protection des données personnelles au sein de l'Europe. Comment d'un droit à la vie privée, sommes-nous arrivés à protéger un droit à la protection des données personnelles ? Malgré une initiative entreprise au départ par le Conse il de l 'Europe, la prote ction des données personnel les es t à présent intégralement consacrée par la réglementation de l'Union européenne. Ce fut tout d'abord une directive, adoptée au début des années 1990, qui réglem enta le sujet. Au vu des progrès technologiques et des disparités résultant du manque d'harmonisation de la directive, il a fallu entreprendre une importante réforme en la matière, qui donna lieu en 2016 à l'adoption d'un nouvea u règlement. Ensuite, afin d'établir le contexte économique et politique , la première partie tente d'e xpliquer les principale s notions et enjeux de la protection des données personnelles. Qu'est-ce qu'une donnée personnelle ? Quels sont les buts sous-jacents au traitement des données personnelles ? 1 E. GEFFRAY, " Commen t assurer l'effectivité de la protection des droits à l' ère post-Snowden ? » in A. GROSJEAN, Enjeux européens et mondiaux de la protection des données personnelles, Bruxelles, Larcier, 2015, p. 19.
9 Dans la seconde partie de notre contribution, nous nous consacrons exclusivement à la place du consentement dans la réglementation européenne. Nous analysons cette notion qui, au fil du temps, a fait l'objet de nombreuses clarifications et modifications importantes. Il nous faut ensuite nous pencher sur les différe ntes critiques é mises à l'égard du consent ement, spécialement soulevées par les nouveaux défis du numérique. Nous tâchons t outefois de relativiser les critiques émises à son propos par les autres principes et droits offerts par la réglementation. Pour finir, notre travail émet quelques pistes de réfl exion relative s à la corrélation possible entre les solutions apportées en mat ière de protecti on des données personnelles et la logique sous-entendant le droit privé de manière généra le. A l'ère numérique, la réponse aux critiques ava ncées ne devrait-elle pas plutôt se diriger vers l'intelligence artificielle ?
10 I. LA PROTECTION DES DONNÉES PERSONNELLES EN EUROPE A) CADRE JURIDIQUE DE LA PROTECTION DES DONNÉES PERSONNELLES 1) ORIGINE Samuel Warren et Louis Brandeis sont considérés comme les premiers auteurs à avoir traité d'un point de vue juridique de la notion de " vie privée » dans leur célèbre article " The right to privacy » 2 publié en 18903. Ils y définissent le droit à la vie privée comme le droit d'être laissé seul (" the right to be alone »)4. De nombreux juristes ont tenté depuis lors de définir la notion de vie privée sans qu'un réel consensus juridique ne soit toutefois admis. La difficulté de l'exercice résulte notamment du fait que le champ d'application de la vie privée tend à s'élargir constamment : la vie familiale, la santé, les opinions politiques, philosophiques, la vie sexuelle sont d'autant d'aspects repris sous sa définition5. 2) LE CONSEIL DE L'EUROPE 2.1. La Convention européenne des droits de l'Homme En Europe, la consécration du droit au respect de la vie privée en tant que concept juridique intervient seulement à la suite de la Seconde Guerre mondiale et du développement conséquent des droits de l'Homme6. Le droit au respect de la vie privée est inscrit comme droit fondamental à l'article 8 de la Convention européenne des droits de l'Homme7 (ci-après, " CEDH »), qui est indéniablement inspiré de l'article 12 de la Déclaration universelle des droits de l'Homme des Nations Unies8 de 19489. Ce droit au respect de la vie privée comporte une double dimension : d'une part, le droit à l'intimité, c'est-à-dire le droit de ne pas l aisser expose r publiqueme nt des informations personnelles, et, d'autre part, un droit à l'autonomie personnelle selon lequel chacun peut mener sa vie comme il l'entend10. Ainsi, le droit à la protection des données à caractère 2 L'article est publié en 1890 dans la Harvard Law Review. Vol. 4, No. 5. (Dec. 15, 1890), pp. 193-220. 3 F. RIGAUX, " La liberté de la vie privée », R.D.I.D.C., 1991, Vol. 43, pp. 539. 4 B. DOCQUIR, Le droit de la vie privée, Bruxelles, Larcier, 2008, p. 27. 5 Y. LELEU, Droit des personnes et des familles, Bruxelles, Larcier, 2016, p. 188. 6 R. ERGEC, Convention européenne des droits de l'homme, Bruxelles, Bruylant, 2014, p. 26. 7 Convention de sauvegarde des droits de l'Homme et des libertés fondamentales (CEDH) signée le 4 novembre 1950 à Rome par les Etats membres du Conseil de l'Europe et entrée en vigueur le 3 septembre 1953. 8 Déclaration universelle des droits de l'homme adoptée le 10 décembre 1948 à Paris par l'Assemblée générale des Nations Unies. Cette déclaration n'a pas de portée juridique en tant que telle, elle n'a qu'une valeur de proclamation de droit. 9 R. ERGEC, op.cit., p. 682. 10 L. BURGORGUE-LARSEN, La Convention européenne des droits de l'homme, Paris, Lextenso Éditions, 2012, p. 97.
11 personnel est recouvert par l'article 8 de la CEDH. Notons par ailleurs que le droit au respect de la vie privée n'est pas un droit absolu. L'article 8, paragraphe 2 de la CEDH admet des ingérences lorsqu'elles sont nécessaires à la sécurité nationale ou à la défense de l'ordre et à la prévention des infractions pénales dans une société démocratique. La jurisprudence de la Cour de Strasbourg regorge d'affaires soulevant la problématique de la protection des données personnelles sur la base de l'article 8 de la Convention, notamment en ce qui concerne la col lecte de données pers onnelles tel le que l'ADN ou les empreintes digitales11, le s procédés de surveillanc e secrè te12 et l'interce ption des communications privées13. En outre, la Cour rappelle que les Etat s doi vent s'abstenir de toute i ngérence susceptible de violer le respect au droit à la vie privée mais met également à leur charge une obligation positive, dans certaines circonstances, de garantir l'effectivité du droit au respect de la vie privée. On peut alors y voir une responsabilisation de l'Etat envers la protection des données de ses citoyens, l'Etat devant intervenir comme garant lorsque la protection n'est plus effective. La jurisprudence de la Cour européenne des droits de l'Homme accorde également une attention particulière à l'égard de la confidentialité des données médicales et au rôle que joue le consentement du patient dans la divulgat ion de ses données. En effet, ces données constituent par leur nature des informations profondément intimes à propos de la vie privée du patient. En conséquence, il n'est perm is de déroger au secret médic al et à l'exigence du consentement du patient que dans des cas exceptionnels et après pondération des intérêts en présence14. 2.2. La Convention n°108 Notre société se voit profondément bouleversée par l'émergence de nouvelles techniques de l'information et de la communication dès les années 196015. Ces découvertes ont directement un impact sur le droit à la vie privée des citoyens et sur ses diverses facettes : droit du travail, droit des entreprises, droit administratif. Malgré une interprétation évolutive et dynamique de l'article 8 de la CEDH, le droit a besoin de s'adapter à l a mutation soci étale et aux développements technologiques, pour faire en sorte de protéger de manière appropriée les individus16. Par conséquent, le Conseil de l'Europe adopte le 28 janvier 1981, une législation 11 Cour eur. D.H., S. et Marper c. Royaume-Uni, 4 décembre 2008, req. n° 30562/04 et 30566/04. 12 Cour eur. D.H., Klass et autres c. Allemagne, 6 septembre 1978, req. n°5029/71. 13 Cour eur. D.H., Malone c. Royaume-Uni, 2 août 1984, req. n°8691/79. 14 R. ERGEC, op.cit., p. 700. L'auteur poursuit avec une illustration de l'arrêt Z. c. Finlande, où la Cour a jugé que la révélation par des médecins d'un état de séropositivité d'une personne sans son consentement, alors que cette personne est contrainte par la justice à témoigner, ne peut se justifier que dans l'intérêt des poursuites pour homicide volontaire dirigées contre son mari suspecté de l'avoir contaminée. Cour eur. D.H., Z c. Finlande, 25 février 1997, req. n°22009/93. 15 F. DEHOUSSE, T. VERBIEST, T. ZGAJEWSKI, Introduction au droit de la société de l'information, Bruxelles, Larcier, 2007, p. 7. 16 J. RIDEAU, Les droits fondamentaux dans l'Union européenne, Bruxelles, Bruylant, 2009, p. 61.
12 particulière à la protection des données personnelles, la Convention n°108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel17. Cette Convention est ouverte à la signature des Etats Mem bres du Conse il de l'Europe mais également à l'adhésion d'Etat tiers18. De plus, en 1999, elle est modifiée afin de pouvoir permettre à l'Union Européenne d'y adhérer. La Convention n°108 est le premie r, et reste à ce jour, le seul instrument international contraignant ayant pour objet la protection des personnes contre l'usage abusif du traitement automatisé des données à caractère personnel19. De par sa vocation universelle, elle dispose de la faculté de remédier à l'absence de convention mondiale dans ce domaine20. La convention a également influencé de nombreuses politiques et législations en matière de protection des données, en premier lieu celles de la Commission européenne lorsqu'elle décida d'élaborer sa propre législation en la matière. Ainsi, la première directive de l'Union européenne sur ce sujet, la directive 95/46/CE, reprend expressément dans son préambule qu'elle précise et amplifie les principes établis par la Convention n°10821. La Convention énonce les droits dont dispose l'individu sur ses données personnelles tels que le droit à l'information, le droit d'accès aux données, le droit à l'effacement ainsi que les principes directeurs que les acte urs, tant privés que publics, doivent respecter lors du traitement des données, comme par exem ple le princi pe de minimisat ion, de loyauté ou encore de proportionnalité. Une partie est également consacrée au transfert des données hors Europe et aux données sensibles qui requièrent une protection particulière. En ce qui concerne plus spécifiquement le rôle du consentement, la Convention est muette par rapport à ce dernier. Elle évoque les notions de traitement licite et de finalité légitime mais ne dresse pas de critè res pour obtenir u n tra itement légitime. Ce n'est que dans certaines recommandations du Comité des ministres, que l'obli gation de consentement a été mentionnée par la suite22. 3) L'UNION EUROPEENNE 3.1. Les directives relatives à la protection des données à caractère personnel 17 Convention n°108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel adoptée le 28 ja nvier 1981 à St rasbourg par le Conse il de l'E urope. La convention compte actuellement 51 États Parties, à savoir les 47 États membres du Conseil de l'Europe et l'Uruguay, l'île Maurice, le Sénégal et la Tunisie. L'Argentine, le Burkina Faso, le Cap Vert et le Maroc ont également été́ invités à y adhérer et le Mexique vient d'en faire la demande. 18 Ainsi, l'Uruguay fut le premier pays non-européen à adhérer à la Convention en 2013. 19 F. DEHOUSSE, T. VERBIEST, T. ZGAJEWSKI, op.cit., p. 279. 20 J. WALTER, " Modernisation de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) », disponible à l'adresse http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/auditionlibe_/auditionlibe_en.pdf 21 Considérant 11 de la directive 95/46/CE. 22 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 5.
13 3.1.1. Directive 95/46/CE Suite à l'adoption de la Convention n°108, la Commission européenne constate que différents Etats membres ont adopté leur propre législation nati onale sur la protection des données personnelles23. Né anmoins, ces législations, pa r leur manque de concordance, étaient susceptibles d'entraîner des distorsions dans le marché intérieur24. Le 24 octobre 1995, la Commission adopte la directive 95/46/CE relative à la protect ion des données25, ave c un double objectif : assurer la libre circula tion des données entre Etats membres tout en garantissant un niveau équivalent de protection des données dans toute l'Union. La directive énonce les diffé rents principes de licéité à respecter lors du traitements de données personnelles. Elle apporte également des droits spécifiques aux personnes concernées, comme le droit à l'information, à la consultation et, le cas échéant, à l'opposition au traitement ou à la rectification des données personnelles. Elle impose également l'obligation pour chaque Etat Membre d'instituer une autorité de contrôle afin de surve iller la bonne exécut ion de la directive. A l'inve rse de la c onvention n° 108, il est convenu dès le départ de l'él aboration de l a directive que le consentement constituerait un fondement juridique de légitimité du traitement des données26. Ce sont les articles 2 et 6 de la di rective qui fixent la définition et les conditions d'un consentement valable : libre, spécifique et informé. N ous reviendrons ultérieurement, plus en détails sur la conception du consentement dans la directive de 1995. 3.1.2. Directive 2002/58/CE Au vu de l'essor des données qui transitent par voie électronique, la Commission européenne adopte en 2002 la directive 2002/58/CE relative au secteur des communications électroniques afin d'émettre des règles plus détaillées et particulières à ce domaine27 28. La directive de 2002 règl e notamment le s questions relatives aux cookies29 et au spamm ing30. Ai nsi, la 23 Le Danemark, la France, le Royaume-Uni, l'Allemagne, l'Irlande, le Luxembourg, et les Pays-Bas. Notons que ce nombre est très significatif étant donné qu'il n'y avait que 12 Etat membres à l'époque. 24 E. KOSTA, Consent in European data protection law, Leiden, Martinus Nijhoff, 2013, p. 84. 25 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. 26 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 5. 27 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Notons que cette directive sera ensuite modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques. 28 M. BOURGEOIS, Droit de la donnée : principes théoriques et approche pratique, Paris, LexisNexis, 2017, p. 13. 29 Les cookies informatiques ou " traceurs de connexion » sont " des fichiers textes stockés sur un terminal (ordinateur, smartphone) par exempl e lors de la consultation d'un site inte rnet, de la lecture d'un m ail, de
14 directive affecte directement sur les techniques de ma rketing de s entreprises qui basent essentiellement leur politique commerciale sur une phil osophie de personnalisation du client31. L'article 2, point f) et le considérant 17 de la directive 2002/58/CE, définissent la notion de consentement par référence à celle énoncée dans la direc tive 95/46/CE. Avec l'entrée en vigueur du nouveau règlement, il est convenu que la notion de consentement dans la directive de 2002 se fera en référence à la nouvelle définition du consentement32. 3.2. La Charte des droits fondamentaux de l'Union européenne A l'origine, les traités fondateurs de l'Union européenne ne contiennent aucune référence relative aux droits de l'homme. Cela peut s'expliquer par le fait que, d'une part, l'objectif poursuivi était l'établissement d'un marché intérieur et que, d'autre part, la matière des droits de l'homme relevait essentiellement du Conseil de l'Europe. La Cour de justice a néanmoins progressivement appréhendé la dimension humaine au fil de sa jurisprudence, pour ensuite en déléguer la tâche au législateur européen33. Les Etats me mbres ont finalement adopt é, le 7 décembre 2000, la c harte des droits fondamentaux de l'Union européenne, ins trument purement politique mais sans valeur juridique34. Il faut attendre l'entrée en vigueur du traité de Lisbonne en 2009 pour que la Charte acquiert enfin une valeur juridique contraignante et équivalente aux traités instituant l'Union35 36. Tandis que l'article 7 énonce le droit au respect de la vie privée, l'article 8 de la Charte dispose quant à lui que : " Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute pe rsonne a le droit d'accéder aux données colle ctées la concernant et d'en obtenir la rectification ». La Charte des droits fondamentaux érige alors au rang de droit fondamental le droit à la protection des données personnelles, droit propre et distinct du droit au respect de la vie privée37. Par le biais de cette disposition, la Charte des l'installation d'un logiciel, etc ». Voy. V. FAUCHOUX, P. DEPREZ, F. DUMONT, J-M. BRUGUIERE, Le droit de l'internet, Paris, Lexis Nexis, 2017, p. 282. 30 Le spamming correspond à l'envoi massif de courriers elctroniques non sollicités, le plus souvent à des fins publicitaires. 31 A. BELLEIL, E-privacy : le marché des données personnelles : protection de la vie privée à l'âge d'internet, Paris, Dunod, 2001, p. 10. 32 E. KOSTA, op.cit., p. 227. 33 C. GAUTHIER, S. PLATON, D. SZYMCZAK, Droit européen des droits de l'Homme, Paris, Dalloz, 2017, p. 32. 34 Charte des droits fondamentaux de l'Union europénn e adoptée le 7 décembre 2000 à Nice pa r l'Union européenne. 35 Voy. article 6 §1 du Traité sur l'Union européenne. 36 F. PICOD, S. VAN DROOGHENBROECK, Charte des droits fondamentaux de l'Union européenne, Bruxelles, Bruylant, 2018, p.13. 37 F. PICOD, S. VAN DROOGHENBROECK, op.cit., p.190.
15 droits fondamentaux se démarque de la CEDH, elle modernise les droits fondamentaux suite à une prise de conscience des bouleversements technologiques38. Quant à sa rela tion avec la direct ive 95/46/CE, la Cour de Justice pré cise que " les dispositions de la directive 95/46/CE, en ce qu'elles régissent le traitement de données à caractère personnel susceptibles de porter atteinte a ux libertés fondamentales et, en particulier, au droit à la vie privée, doivent nécessairement être interprétées à la lumière des droits fondamentaux »39. En ce qui concerne le rôle du consentement, ce dernier est expressément reconnu dans la Charte40. En effet, L'article 8, paragraphe 2, de cet instrument postule que les données à caractère personnel peuvent faire l'objet d'un traitement " sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi ». 3.3. Le nouveau règlement européen sur la protection des données à caractère personnel La Commission européenne constate que la directive de 1995 est déjà dépassée et qu'elle ne peut plus faire face aux nouveaux défis posés par les nouvelles technologies qui permettent une collecte et un stockage toujours plus important des données personnelles41. En effet, elle a été pensée à une époque où les réseaux sociaux, les objets connectés, la révolution des Big Data n'existaient pa s encore42. Le Big data ou mé ga données désignent l'ensemble des données numériques cré es par l'ut ilisation des nouvelles technologies dont le très grand volume requiert des outils d'analyse adaptés43. De plus, les disparités résultant de la mise en oeuvre de la di rective, crée nt des insécurités juridiques, auxquelles il faut remédier grâce notamment à l'adoption d'un règlement qui permet une harmonisation totale de la matière44. Les institutions européennes se lancent alors dans un long processus législatif faisant l'objet de plus de 4500 amendements et d'un intense lobbying. Le règlement général sur la protection des données est finalement adopté le 27 avril 201645. Son entrée en vigueur est fixée au 25 mai 2016 et les dispositions sont directement applicables dans l'ensemble des Etats membres le 25 mai 2018. 38 Ibidem, p. 186. 39 C.J.U.E., arrêt Rechnungshof, 20 mai 2003, aff. jointes C-165/01, C-138/01 et C-139/01. 40 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 6. 41 G. SKOUMA, L. LEONARD, " Chapitre 1 - Les grands changements liés à la réglementation sur la protection des données personnelles et ses implications pratiques pour les entreprises et les professionnels » in A. GROSJEAN Enjeux européens et mondiaux de la protection des données personnelles, Bruxelles, Éditions Larcier, 2015, p. 404. 42 B. DOCQUIR, Vers un droit européen de la protection des données ?, Bruxelles, Larcier, 2017, p. 10. 43 D. BOURCIER, P. DE FILIPPI, Open data & Big Data : nouveaux défis pour la vie privée, Paris, Mare&Martin, 2016, p. 99. 44 G. SKOUMA, L. LEONARD, op.cit., p. 403. 45 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) adopté le 27 avril 2016 et rentra en vigueur le 25 mai 2018.
16 Dans la perspective de modernisation de la directive 95/46/CE, le nouveau règlement poursuit comme objectif le renforcement du contrôle de l'individu sur l'utilisation qui est faite de ses données, notamment en accentuant le rôle du consentement et le droit à l'information46. Par le biais de ces changements, l'Union Européenne cherche à établir un climat de confiance dans le développeme nt de l'économie numérique du marché intérieur47. El le tend également à responsabiliser les autorités, les entrepri ses, et toutes autres entités traitant de données personnelles. Dans cette optique, le règlement établit, pour la première fois en matière de protection des données, un arsenal de s anctions en cas d'entorse, a llant jusqu'à des amendes pouvant atteindre les 20 millions d'euros ou 4% du chiffre d'affaires48. Un vent de panique souffle sur les entreprises , inquiètes de ne pas être conforme s au nouveau règlement. On peut raisonnablement penser que ce nouvel éléme nt va sensibi liser au respec t de la nouvelle législation. La définition du consentement es t redéfinie et remodelée afin de pours uivre le principal objectif du nouveau règlement, à savoir le renforcement des droits des citoyens sur leurs données. Nous aborderons l es changeme nts relatifs à la notion du conse ntement dans la seconde partie de notre travail. B) DÉFINITIONS ET ENJEUX DE LA PROTECTION DES DONNÉES PERSONNELLES 1) GENERALITES 1.1. Définition d'une donnée personnelle Le Règlement européen définit les données à caractère personnel comme " toute information se rapportant à une personne physique identifiée ou identifiable ». Il précise ensuite que pour être considéré com me une personne identifiabl e, il suffit de " pouvoir être identifié, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identifi cation, des données de localisation, un identifi ant en ligne, ou à un ou plusieurs éléments spéci fiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »49. La philosophie du règlement étant la protection des données personnelles des citoyens de l'Union européenne, le règlement s'applique uniquement aux personnes physiques. Ainsi sont 46 COMMISSION EUROPEENNE, Communiqué de presse du 4 novembre 2010 : " Une approche globale de la protection des données à caractère personnel dans l'Union européenne ». 47 J. VETOIS, " L'Europe redéfinit la protection des données personnelles », Terminal, 2013, p. 1. 48 G. SKOUMA, L. LÉONARD, op.cit., p. 417. 49 Article 4, al. 1er du Règlement 2016/679.
17 exclues les données à caractère personnel relatives aux personnes morales et, en particulier, aux entrepri ses dotées de la personnalité j uridique50 et celles relatives aux personnes décédées51. Il existe certaines données potentiellement plus sensibles pour le respect de la vie privée, par le simple fait qu'elles apportent des informa tions particul ièrement intimes sur l'individu. Ainsi, les données qui révèlent l'origine raciale ou ethni que, les opinions politiques, les convictions religieuses ou philosophi ques, l'appartenance syndicale, la vie s exue lle ou l'orientation sexuelle d'une personne sont considérées comme des données sensibles. Sont également visées par cette notion, les données génétiques, biométriques et médicales. Une protection plus élevée doit leur être a ccordée. La législation interdit en pri ncipe leur traitement, sous réserve d'exceptions telles que le consentement de la personne concernée, des motifs d'intérêt public ou encore l'exécution d'obligations contractuelles52. 1.2. Définition d'un traitement La législation vise les traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier53. Un grand nombre de personnes peuvent se méprendre sur le champ d'appl ication du règleme nt, en partie du fait qu'il est la conséquence de l'émergence croissante du traitement informatisé des données. Or, le traitement manuel tombe également sous la protection du règlement si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier structuré54. La législation couvre un éventail très large de situations. Les opérations ainsi visées sont notamment la collecte, le stockage, la modification, l'extraction, la consultation, le transfert de données à caractère personnel. 2) ENJEUX DES DONNEES PERSONNELLES 2.1. Enjeux économiques Avant de nous plonger au coeur de notre sujet, il est important de souligner l'importance que les données personnelles représentent aujourd'hui, spécialement dans le secteur commercial. " Si c'est gratuit, c'est vous le produit » est une célèbre maxime dans l'environnement en ligne. De par le fait que les données sont à présent monétisables, il existe un véritable marché des données personnelles, certains allant jusqu'à parler du nouvel or noir du 21ème siècle. Le 50 Ibidem, consid. 14. 51 Ibidem, consid. 27. Sur ce dernier point étonnant, notamment pour des données médicales qui pourraient concerner des apparentées v ivantes, no tons que le règlement perm et aux Etats Membres de prendre les dispositions qu'ils estimeront utiles. 52 Ibidem, article 9. 53 Ibidem, article 3. 54 C. PIERRE-BEAUSSE, La protection des données personnelles, Luxembourg, Editions pomoculture, 2005, p. 29.
18 phénomène " Big data »55 amplifie la possibilité d'espaces de stockage et d'échanges de données pour les ent repris es. Une certaine logique s'est alors installée dans le pays age économique : l'entreprise ayant collecté le plus d'informations sur les consommateurs serait la plus à même de contrôler ceux-ci56. Ce postulat soulève inévitablement, outre des questions sur le droit de la vie privée, des questions relatives au droit de la concurrence en ce qu'elle permet à l'entreprise de détenir un pouvoir de marché57. Dans l'environnement du commerce en ligne, le marketing ciblé cherche à personnaliser les offres aux clients dans une perspective plus durable de fidélisation. La pratique des cookies en est l'exemple le plus démonstratif. Cette révolution de l'information met en concurrence deux grands paradigmes, d'une part, la liberté de l'échange et du commerce et, d'autre part, le respect de la vie privée. Des enquêtes menées en Europe ainsi qu'aux Etats-Unis ont souligné l'inquiétude et la méfiance des consommateurs à l'encontre des pratiques du commerce en ligne58. Les récentes affaires divulguant des scandales propres aux sites tels que Facebook ou Google, alimentent les appréhensions des internautes. L'exploitation de données personnelles collectées sur internet avec des objectifs économiques sous-jacents pose problème. Il est nécessa ire que le droit intervienne pour encadrer ce s pratiques et empêcher les abus. Il est également de l'intérêt des entreprises de prendre en considération ces notions de droit au respect de la vie privée notamment dans la perspective d'établir un climat de confiance pérenne avec leur clientèle. 2.2. Enjeux politiques et sociétaux : A côté des enjeux économiques évidents de l'exploitation des données personnelles, il existe également des enjeux d'ordre politiques et sociétaux. Il est habituel d'associer les techniques de surveillance comme moyen politique d'asservissement du peuple59. De nombreux ouvrages littéraires en font la référence. On pense tout d'abord, en matière de contrôle de la vie privée, au célèbre roman d'anticipation de Georges Orwell, " 1984 »60, et sa société contrôlée par Big Brother. Le roman est d'ailleurs souvent cité, parfois de façon excessive, pour nous mettre en garde sur les dérives potentielles du t raitement de nos donnée s dans nos sociétés contemporaines. Par exemple, les données extraites à partir de notre géolocalis ation, ou encore les procédés de reconnaissance faciale, pourraient être utilisées à mauvais escient en vue d'exercer un contrôle permanent sur les citoyens. 56 A. BELLEIL, E-privacy : le marché des données personnelles : protection de la vie privée à l'âge d'internet, Paris, Dunod, 2001, p. 31. 57 M. BOURGEOIS, op.cit., p. 279. 58 J. FRAYSSINET, " La protection des données personnelles est-elle assurée sur l'Internet ? » in G. CHATILLON, Le droit international de l'internet, Bruxelles, Bruylant, 2003, p. 435. 59 Voy. C. RAGOUCY, " Le panoptique et 1984 : confrontation de deux figures politiques d'asservissement », Psychanalyse, vol. 18, 2010, pp. 45-58. 60 1984 est un roman d'anticipation publié en 1949 par l'écrivain anglais George Orwell.
19 Dans le même ordre d'idées, Mi chel Foucault, dans " Surveiller et punir », analyse l e panoptique imaginé par Be ntham au 19ème siècle comme une technique permettant la surveillance la plus efficiente et la plus complète possible des prisonniers61. Le procédé a l'avantage d'être totalement anonyme, de sorte que les prisonniers ne peuvent jamais savoir s'ils sont surveill és ou non. L'architecture virtuelle engendrée par le World Wide Web (W.W.W.) constitue en quelque sorte la concréti sation du panoptique de Bentham à une échelle mondiale. Les nouvelles technologies de traitement massif de données (Big Data) permettent non seulement la surveillance des citoyens mais également la connaissance de ceux-ci jusque dans leurs pensées les plus intimes, le plus souvent à leur insu. D'un autre côté, ces extrac tions de données s ont également trè s utiles en matière de prévention de toutes sortes de crimes et délits. En Europe, la promotion d'une coopération policière et judiciaire encourage l'échange d'informations, telles que les empreintes digitales ou l es immatricula tions de véhicules62. La protection des données personnelles est alors amoindrie dans ce contexte où l'intérêt collectif prime sur l'intérêt individuel63. En cela, les traitements de données à caractère personnel à finalité de sécurité publique échappent à une série de dispositions de la réglementation européenne. Par ailleurs, les banques sont fortement touchées par la législation sur la protection des données en ce qu'elles doivent jouer un rôle actif dans la lutte contre le blanchiment d'argent et le financement du terrorisme. II. LE CONSENTEMENT COMME OUTIL DE PROTECTION DES DONNÉES PERSONNELLES ? A) LA NOTION DE CONSENTEMENT DANS LA PROTECTION DES DONNÉES PERSONNELLES 1) GENERALITES Le consentement peut être défini comme l'expression d'une manifestation de volonté. En droit, il revêt une fonction particulière, en ce qu'une personne, par son consentement, pourrait accepter une situation juridique susceptible de lui causer un détriment. Notion fondamentale dans la pensée juridique, le consentement est omniprésent, que ce soit par exemple en droit pénal, lorsqu'il conditionne l'interprétation d'une situation litigieuse comme licite ou illicite, ou en droit des contrats, dans lequel il constitue une des conditions 61 N. THIRION, Théorie du droit : droit, pouvoir, savoir, Bruxelles, Larcier, 2011, p. 69. 62 Voy. la Direc tive (UE) 2016/680 du Pa rlement européen et du Conseil du 27 avril 2 016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. 63 C. CASTETS-RENARD, Quelle protection des données personnelles en Europe ?, Larcier, Bruxelles, 2015, p.30.
20 essentielles de validité de l'acte établi entre les parties64. La matière de protection des données n'échappe pas à ce postulat. En effet, dans le nouveau règlement, on retrouve le consentement en tant que condition de légitimation du traitement des données. Le consentement est cité en premier parmi les autres conditions de licéité, ce qui, pour certains, démontre son importance fondamentale dans le domaine. 2) ANCIEN REGIME DE LA DIRECTIVE 95/46/CE 2.1. Définition du consentement L'ancienne directive 95/46/CE, dans son article 2 (h), définit le consentement comme " toute manifestation de volonté́, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement »65. En outre, da ns son artic le 7, la dire ctive é nonce le consentement comme procédé de légitimation du traitement de données personnelles et précise que la personne concernée doit avoir donné son consentement de manière indubitable66. 2.2. Particularité des données sensibles Une protection particulière est mise en place pour le traitement de données sensibles, en raison de l'ingérence grave que le traitement de ces données peut engendrer au niveau de la vie privée67. En conséquence , le traitem ent de ces données se nsibles est int erdit sauf dérogations prévues par la législation, dont le consentement de la personne concernée. La condition d'obtention du consentement est plus stricte en ce que le consentement doit être explicite et non plus indubitable. En droit, l'expression " consentement explicite » a la même signification qu'un consentement exprès68. Il est alors donné généralement par une signature, qu'elle soit manuscrite ou électronique. Il est admis également qu'un consentement explicite soit donné oralement, toutefois il est plus difficile à prouver, ce qui peut être problématique69. En ce qui concerne spécialement les moyens de donner son consentement à l'exploitation de données sensibles dans l'environnement en ligne, la signature électronique ou numérique, en plus d'être un c onsentement expli cit e valable, a l'avantage d'avoir une importa nte force probante70. Le consentement explicite peut être également valablement donné lorsqu'il est demandé à la personne c oncernée, e n plus de cons entir, de compléte r un formulaire 64 Article 1108 du Code civil belge. 65 Art. 2, h), de la Directive 95/46/CE. 66 Art. 7, de la Directive 95/46/CE. 67 Art. 8, de la Directive 95/46/CE. 68 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 28. 69 Ibidem. 70 Ibidem.
21 d'inscription en ligne où les uti lisat eurs doivent remplir leurs coordonnées afin de s'identifier71. 2.3. Faiblesses du consentement En matière de consentement, un des reproches adressés à la directive est de ne pas expliquer davantage ce que l'on entendait par un consentement libre, spécifique et informé. En outre, la notion de consentement indubitable porte également à confusion lorsqu'on la compare avec la notion de consentement explicite72. Il n'est pas toujours aisé d'apprécier ce que constitue un consentement authentique, non-univoque, ce qui amène certains responsables de traitement des données à abuser de la faiblesse de la définition, spécialement dans l'environnement en ligne. Dans la mesure où la nature juridique de la directive entraîne une possibilité pour les Etats membres de transposer la notion de consentement selon leurs interprétations, il en résulte des approches différentes73. Ces disparité s ont entraîné des incohérences qui créèrent de la complexité, de l'insécurité juridique et des coûts administratifs74. De l'insécurité juridique, notamment en affaiblissant la position des personnes concernées sur la maîtrise de l'utilisation de leurs données. Une illustration de ces divergences peut être que certains admettent un consentement implicite alors que d'aut res requièrent l'obligation générale d'obtenir un consentement écrit75. 3) INTERVENTION DU GROUPE DE TRAVAIL 29 En 2010, la Commission européenne a demandé un travail général de contribution sur la révision de la direct ive 95/46/CE . Le Groupe de travail article 29 sur la prot ection des données (ci-après " G29 ») est un organe consultatif européen indépendant sur la protection des données personnelles et de la vie privée76 77. Dans son avis 15/2011, le travail du G29 se concentre exclusivement sur le rôle du consentement en matière de protection des données personnelles78. L'objectif poursuivi est double : d'une part, le groupe clarifie la plupart des dispositions ambiguës de la directive et d'autre part, en vue de la révision de la directive, le groupe propose les changements à apporter à la définition du consentement79. 71 Ibidem, p. 30. 72 E. KOSTA, op.cit., p. 149. 73 Ibidem, p. 148. 74 COMMISSION EUROPEENNE, Communiqué de presse du 21 décembre 2015 : " Questions réponses : la réforme de la protection des données ». 75 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 3. 76 A. BENSOUSSAN, La protection des données personnelles de A à Z, Bruxelles, Bruylant, 2017, p.50. 77 Voy. articles 29 et 30 de la directive 95/46/CE pour l'organisation et les missions du groupe 29. 78 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition, adopté le 13 juillet 2011, p. 30. 79 Ibidem, p. 1.
22 Toutefois, précisons que ces lignes directrices ne sont pas juridiquement contraignantes, elles n'ont donc pas de réel le portée juridique. L es clarificat ions apportées à cette époque présentent néanmoins un intérêt, s pécialement dans l'environne ment en ligne, où il éta it difficile d'établir une pratique conforme à la directive. 3.1. Modalité du consentement 3.1.1. Utilisation adéquate du consentement Il est capital de choisir correctement le fondement juridique sur lequel repose le traitement de données personnelles, afin de ne pas amoindrir l 'efficacité du cons entement dans une situation où il serait inapproprié80. Le groupe de travail 29 insiste pour rappeler qu'il existe cinq autres moyens de légitim er un trai tement de données personnelles81. En plus du consentement, l'article 7 de la directive énonce notamment l'exécution d'un contrat auquel la personne concernée est partie, les missions d'intérêt public ou encore l'intérêt légitime du traitement. Les autres fondements pour légitimer le traitement des données personnelles induisent un critère de nécessité qui restre int significativement le contexte dans leque l chacun peut s'appliquer. Il ne faut pas pour autant en déduire que l'obligation de consentement dispose d'une plus grande marge de manoeuvre par rapport aux autres fondements juridiques82. 3.1.2. Moment où le consentement est donné Malgré le silence de la directive sur le moment où le consentement doit être donné, il est convenu de maniè re unanim e que le consentement doit être obtenu avant le début de traitement des données83. Dans l'hypothèse d'un changement de finalité durant le traitement des données, un nouveau consentement est requis. 3.1.3. Forme du consentement En ce qui concerne la forme que doit revêtir le consentement, la directive ne précise rien, elle énonce simplement que le consentement est " toute manifestation », ce qui englobe aussi bien le consentement écrit qu'oral. Les termes " manifestation de volonté » et " accepte » induisent inévitablement une action de la personne concernée. En ce qui concerne le consentement déduit d'une absence de comportement de la personne concernée, cela peut être considéré comme consentement valable uniquement si aucun doute sur les intentions de la personne concernée ne peut être soulevé84. 80 Ibidem, p. 11. 81 Ibidem, p. 7. 82 Ibidem, p. 8. 83 Ibidem, p. 10. 84 Ibidem, p. 23.
23 L'article 7 de la directive conforte cette interprétation en ce qu'il requiert un consentement indubitable de la personne concernée, c'est-à-dire qui ne laisse aucun doute. Le G29 illustre ses propos avec un exemple assez éloquent : une entreprise envoie et informe cent clients par courrier électronique que leurs données vont faire l'objet d'un transfert sauf s'ils s'y opposent dans les deux semaines. Seulement dix clients s'y opposent. Concernant les 90 autres clients, on ne peut avancer de façon certaine qu'ils ont donné leur accord de façon non-ambiguë85. Les conditions émises par la directive ne sont dès lors pas rencontrées. 3.1.4. Le consentement dans la directive 2002/58/CE La directive 95/46/CE et la directive 2002/58/CE ne s'excluent pas86. Par conséquent, les conditions générales d'un conse ntement valable aux yeux de la dire ctive 95/46/CE s'appliquent également à la directive 2002/58/CE. La directive 2002/58/CE (vie privée et communications électroniques) détaille seulement ces conditions dans le cadre plus spécifique des services en ligne. 3.2. Caractéristiques du consentement 3.2.1. Un consentement libre Le G29 aborde t out d'abord le souci d'obte nir un consentem ent libre87. C'es t-à-dire un consentement obtenu sans aucune contrainte, intimidation mais aussi sans aucune tromperie. Le groupe vise notamment les situations où on est en présence d'une relation comportant un lien de subordination avec le responsable du traitement des données, tel que dans les rapports professionnels ou dans le cadre des services publics de la santé. Un appel d'offre d'emploi est le premi er exemple évocateur de cette relat ion de subordination. Il est demandé au candidat de communiquer des données personnelles, parfois intimes, sur sa personne. L'autonomie de la personne concerné e se voit particuli èrement amoindrie dans ces situations. Il est alors légitime de penser que, la plupart du temps, le consentement du candidat dans le besoin d'un emploi relève de l'artificiel88. Le consentement n'est dès lors pas le fondement juridique le plus approprié. C'e st pourquoi, dans c es hypothèses, un examen approfondi pour savoi r si la personne a rée llement donné son consentement de manière libre est requis. Par ailleurs, le groupe 29 admet des hypothèses où le consentement de la personne concernée est valable dans le cadre professionnel. Par exemple, une entreprise demande à ses employés s'ils acceptent ou non qu'une photographie de leur personne soit mise à côté de leur nom sur 85 Ibidem, p. 13. 86 Ibidem, p. 12. 87 Ibidem, p. 12. 88 F. RIGAUX, op.cit., p. 585.
24 l'intranet. Si l'employé envoie une photo, cet envoi sera considéré comme un consentement valide89. 3.2.2. Un consentement spécifique Pour être valable, le consentement doit être spécifique, c'est-à-dire qu'il ne doit pas être de portée générale mais bien porter sur un traitement précis90. Cette condition est étroitement liée à la c ondition d'informa tion du consentement, dans la mesure où le consenteme nt e st spécifique dès qu'il porte sur les informations f ournies à la personne concerné e91. Pour obtenir un cons entement spécifique, le consentement ne doit pas être donné de manière générale, mais il doit porter sur une finalité exacte du traitement de données92. Prenons comme exem ple les réseaux soc iaux qui permettent l'utili sation d'applicat ions externes. De manière générale, lorsque les util isateurs désirent utili ser une applicati on externe, on demande le consentement de ces derniers pour la transmission de leurs données au concepteur de l'application, notamment dans une perspective de publicité comportementale et de revente à des tiers. Toutefois, l'application peut marcher sans le transfert de ces données. Pour se conformer à l'e xigence de spécific ité, il est recommandé de demander un consentement distinct, l'un pour l a re vente à des tiers et l'autre pour l a publicité comportementale93. 3.2.3. Un consentement informé L'obligation d'information aspire à rendre le processus de traitem ent de données plus transparent aux yeux de la personne concernée94. L'article 10 de la directive énonc e l es différentes informations essentiell es à transmettre à la personne concernée à propos du traitement de ses données : identité du responsable de traitement des données, les finalités du traitement, etc. Le G29 précise deux exigences supplémentaires relatives à l'obligation d'information afin d'obtenir une décision suffisamment éclairée de la part de la personne concernée, portant, d'une part, sur la qualité des informations et, d'autre part, sur l'accessibilité et la visibilité des informations95. Concernant la qualité des informations, celles-ci doivent être transmises dans un langage simple, clair et compréhensible pour tout utilisateur moyen. Ainsi, l'emploi d'un jargon juridique est à proscrire. Ensuite, les informations fournies doivent être directement visibles, faciles d'accès pour la personne concernée de sorte qu'elles ne puissent lui échapper. 89 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 15. 90 M. BOURGEOIS, op.cit., p. 71. 91 E. KOSTA, op.cit., p. 219. 92 Avis 15/2011 du Groupe de travail " Article 29 » sur la définition du consentement, adopté le 13 juillet 2011, p. 18. 93 Ibidem, p. 19. 94 Ibidem, p. 10. 95 Ibidem, p. 21.
25 3.2.4. Un consentement indubitable Outre les conditions exigées à l'article 7 de la directive, le consentement doit également être indubitable. Cela signifie que la manifestation de volonté de la personne concernée afin de marquer son accord ne doit lai sser aucun doute qua nt à son intention de c elle-ci96. En conséquence, un consentement déduit de l'inaction ou du silence de la personne concernée, en particulier dans l'environnement en ligne, ne peut constituer un consentement valable. On vise ici en particulier les démarches de marketing basées sur les cquotesdbs_dbs11.pdfusesText_17
taBle des matières - Larcier - Livres et documentation