Dans sa décision datée du 11 novembre 2020, la Cour de justice de l’Union européenne (CJUE) a rappelé qu’il appartient toujours au responsable de traitement des données de démontrer que les personnes concernées ont « par un comportement actif, manifesté [leur] consentement au traitement de ses données à caractère personnel ». En clair, pour qu’un consentement soit valide, il ne faut pas qu’il soit forcé.
Une case pré-cochée avant signature ne vaut pas
La justice européenne devait trancher dans une affaire qui impliquait la filiale d’Orange en Roumanie. L’entreprise avait écopé d’une amende de la commission nationale de l’informatique et des libertés (Cnil) roumaine pour avoir collecté et conservé les copies des titres d’identité de ses clients, sans leur consentement explicite. Pour le gendarme de la protection des données en Roumanie comme pour la CJUE désormais : une case pré-cochée avant signature ne vaut pas. Ce type de consentement pré-rempli n’est pas jugé assez actif et manifeste.
https://twitter.com/EUCourtPress/status/1326462391857651712
De plus, avant de cliquer sur « j’accepte », les consommateurs doivent avoir eu « une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples ». Donc, pour qu’un consentement libre soit valide, il faut aussi qu’il soit éclairé. Pour Orange România, l’information sur le traitement des données de leurs clients n’était pas assez transparente.
Rien de nouveau pour la justice européenne, mais une ré-affirmation des principes de base du consentement tel qu’il est défini par le RGPD entré en vigueur en mai 2018.
Source : CJUE
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.