Dans son arrêt du 11 novembre, la CJUE apporte des éclaircissements utiles sur les causes d’invalidité du consentement pour la collecte et la conservation des données personnelles.

L’arrêt sonne comme une piqure de rappel des recommandations et lignes directrices de la CNIL sur l’usage des cookies : le consentement doit être un acte positif clair, il ne peut se déduire de la signature d’un contrat comportant une case pré-cochée par le responsable de traitement. De même, comme énoncé par la CNIL, refuser doit être aussi aisé que consentir, le refus ne doit donc pas conduire à des formalités supplémentaires de la part de la personne concernée.

L’affaire portée devant la Cour concerne le recours introduit par Orange România, société de services de télécommunications mobiles, devant le Tribunal Bucureşti (Tribunal de grande instance de Bucarest), contre la décision de l’autorité de protection des données roumaine (l’ANSPDCP) du 28 mars 2018, lui infligeant des sanctions pour avoir conservé des copies de titre d’identité de ses clients, sans avoir démontré que ces derniers avaient exprimé un consentement valable. Le Tribunal Bucureşti a décidé de sursoir à statuer et de poser à la CJUE une question préjudicielle qui, en substance, porte sur l’interprétation des dispositions des articles 2. h) et 7. a) de la Directive 95/46 ainsi que des articles 4. 11 et 6. 1. a) du RGPD.

La CJUE énonce qu’un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification, peut ne pas être de nature à démontrer que cette personne a valablement donné son consentement à cette collecte et à cette conservation.

• La Cour précise que le consentement n’est pas valable lorsque ladite clause comportait une case qui avait été cochée au préalable par le responsable de traitement.
• Le consentement n’est pas non plus valable, selon la Cour, lorsque les stipulations contractuelles sont susceptibles d’induire la personne concernée en erreur sur la possibilité de conclure le contrat même si elle refuse de consentir au traitement de ses données.
• La Cour précise encore que le consentement n’est pas librement exprimé lorsque le choix de consentir ou de s’opposer à la collecte de données personnelles est affecté par le responsable de traitement qui exige que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus. Ce point avait été développé par l’avocat général, précisant qu’exprimer un refus de consentement sous forme manuscrite est une charge trop lourde pour le client qui ne doit pas avoir le sentiment que son refus n’est pas conforme aux procédures habituelle.