La justice européenne répète qu’une case précochée ne peut prouver le consentement d’une personne

La justice européenne répète qu’une case précochée ne peut prouver le consentement d’une personne

Par Vincent Hermann

Le 12 Novembre 2020 à 08h46
Droit
2 min 4

La justice européenne répète qu’une case précochée ne peut prouver le consentement d’une personne

Orange România avait écopé d’une amende de la CNIL roumaine pour avoir collecté et conservé les copies des titres d’identité de ses clients, sans leur consentement exprès. Plus exactement, une case précochée avant la signature de chacun des contrats n’avait pas été jaugée assez solide.

La Cour de justice de l’Union européenne a rappelé dans son arrêt rendu le 11 novembre qu’il appartient toujours au responsable de traitement de démontrer que les personnes physiques concernées ont « par un comportement actif, manifesté [leur] consentement au traitement de ses données à caractère personnel ».

En outre, ces personnes doivent avoir obtenu préalablement « une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples ».

Pour le cas présent, une case précochée, ou encore un contrat susceptible d’induire la personne en erreur « quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données » ou enfin l’obligation de remplir un formulaire pour faire état d’un refus ne peut démontrer « que cette personne a valablement donné son consentement ».

Une décision similaire avait déjà été rendue voilà près d’un an, s’agissant des cookies.

Commentaires (4)


War Machine Abonné
Le 12/11/2020 à 12h34

Oh, c’est bon ca !
Enfin un passage vers l’opt-in au lieu de l’opt-out !


Arkeen Abonné
Le 12/11/2020 à 13h40

Yessss ! Il faudrait des cas un plus retentissant des condamnations de ces dark patterns, pour décourager sérieusement leur usage bien trop répandu aujourd’hui.


Berbe Abonné
Le 12/11/2020 à 15h49

DayWalker a dit:


Enfin un passage vers l’opt-in au lieu de l’opt-out !




Il n’y a aucun “passage” : le texte du RGPD n’a jamais changé.
Consentement via “action positive explicite” & actions de consentement ou de refus à la difficulté symétrique : il ne peut et n’a jamais pu y avoir légalement d’“opt-out”.



Certains éditeurs de site Web semblent seulement avoir du mal à comprendre les textes qui ne vont pas dans leur sens… et lorsqu’ils se font choper : “Oups ’s’cusez… On peut avoir 1 an pour corriger ? Parce que vous comprenez, vous nous prenez de court, c’est compliqué… ma grand-mère a écrasé un lion… pis la COVID, toussa toussa…”



RGPD Article 4 (11) [1] :




‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;




RGPD Article 7 (4):




[…] Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.




UK ICO [2] :




Consent requires a positive opt-in. Don’t use pre-ticked boxes or any other method of default consent.




[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504
[2] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/


Futureman
Le 15/11/2020 à 21h29
Fermer