Selon le RGPD en son article 6 a) (ainsi que les articles 7,8 et 9 et les considérants 32, 42, 43, 171 , pour être valide, un consentement doit être libre, éclairé, spécifique et univoque).
Le 6 mai 2020, le Comité européen de la protection des données (ci-après le «CEPD») a publié ses lignes directrices 05/2020 sur le consentement qui est une version mise à jour des lignes directrices qui avaient été publiées par le groupe de travail de l’article 29.
Consentement et Cookie Wall
En ce qui concerne les murs de cookies (ou cookiewall), les lignes directrices du CEPD stipulent que ce type de mécanismes – qui empêchent les utilisateurs qui n’acceptent pas l’utilisation de cookies d’accéder à un site ou à une application mobile – sont illégaux, car le consentement obtenu de cette manière ne peut être considéré comme librement accordé.
« Le CEPD estime que le consentement ne peut pas être considéré comme libre si un site Web fait valoir qu’un choix existe entre, d’une part, l’accès à son service qui implique le consentement à l’utilisation de données personnelles, et, d’autre part, un service équivalent offert par un tiers. […] Ce qui signifie qu’un prestataire ne peut empêcher les personnes concernées d’accéder à un service au motif qu’elles n’y consentent pas », détaille le paragraphe 38 des lignes directives actualisées au 4 mai 2020 du CEPD.
De même, les directives du CEPD indiquent que le fait pour le propriétaire d’un Site Web d’obliger ses visiterus de faire défiler ou de parcourir une page Web pour accèder au Site ne constitue pas une action positive qui remplit les conditions d’un consentement valide en vertu du RGPD. Cette pratique ne permet pas d’ailleurs pour le visiteur de retirer son consentement par la suite et ne doit par conséquent pas être utilisée. (Paragraphe 86)
Selon le CEPD, les propriétaires de Sites Web « doivent concevoir des mécanismes de consentement clairs pour les personnes concernées, […] éviter toute ambiguïté et faire en sorte que l’action par laquelle le consentement est donné puisse être distinguée d’autres actions.
Ces clarifications du CEPD sont par ailleurs conformes à la décision de la Cour de justice de l’Union européenne dans l’affaire Planet 49 et les récentes directives des autorités européennes de protection des données sur le consentement aux cookies
Consentement et accès à des biens ou services (en tant que base légale complémentaire)
Plus généralement, lorsque des données à caractère personnel sont traitées par un responsable du traitement pour la fourniture de biens ou de services la base légale correcte est en principe l’exécution d’un contrat (ou mesures pré-contractuelles).
Toutefois, selon le CEPD, le consentement peut être utilisé comme base légale complémentaire (mais distincte) si le responsable du traitement veut utiliser les données des personnes concernées qui font appel à ses services pour des traitements supplémentaires qui ne sont pas indispensables à l’exécution du contrat.. (Par exemple l’envoi d’une newsletter.)
Le refus (ou le retrait) d’une demande de consentement par la personne concernée dans ce cadre ne peut en aucun cas avoir de conséquences négatives pour la personne concernée notamment en ce qui concerne son accès aux biens et services.
Si c’était le cas alors ceci constituerait la preuve que consentement n’est pas valide au regard du RGPD étant donné qu’il n’est pas libre et distinct des traitements reposant sur l’exécution d’un contrat. (Par exemple si le refus de s’abonner à la newsletter entraîne une restriction d’accès aux biens et services ou d’autres désavantages pour la personne concernée).
Conclusion
Cette nouvelle mouture des lignes directrices du groupe de travail 29 est utile car elle contient de nombreux exemples et aborde des questions qui n’étaient pas abordées dans les anciennes lignes directrices comme l’usage d’un cookie wall ou l’usage du consentement comme base légale complémentaire dans le cadre de la proposition de biens ou de services.