La généralisation du consentement, innovation majeure du RGPD ?
La place accordée au consentement est décrite comme l’une des innovations majeures du RGPD. Rien n’est moins vrai. Son recueil était déjà une règle cardinale dans la loi de 1978 et dans la directive de 1995. L’une des vraies nouveautés du RGPD, ce serait plutôt que ne pas le recueillir expose en principe le responsable de traitement à une amende pouvant aller jusqu’à 20 000 000 d’euros ou 4% de son chiffre d’affaires mondial sur l’exercice précédent. Ne vous arrêtez toutefois pas aux chiffres. L’important est ailleurs. L’autre vraie nouveauté, c’est que le RGPD donne vie à ce « en principe ».
Le consentement n’est pas systématique
Illustration du pragmatisme dont peut parfois faire preuve le législateur européen, le principe du consentement connaît toujours cinq exceptions. Parmi ces exceptions, certaines reposent sur l’activité du responsable de traitement : un professionnel de santé peut ainsi traiter les données relatives à un patient sans son consentement, lorsque cela s’avère nécessaire pour la sauvegarde de ses intérêts vitaux. D’autres reposent sur la nature de sa relation avec la personne concernée, ce qui dispense de recueillir un consentement lorsque le traitement est nécessaire à l’exécution d’un contrat. La plus intéressante sera désormais celle permettant la mise en œuvre d’un traitement de données sans consentement, lorsqu’il « est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ».
Cette dernière exception figurait déjà dans la loi de 1978, me direz-vous. Certes. Cependant, son application a toujours été refusée par la CNIL et la quasi-totalité des juridictions françaises. Et en pratique, cela devrait changer. Pourquoi ?
Déjà parce que le périmètre de cette exception est désormais tracé. La loi de 1978 précise actuellement que l’intérêt légitime du responsable ne doit « pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ». Point. Le RGPD va plus loin. Il introduit un rapport de supériorité, en indiquant que cette pourra jouer tant que ne prévaudront pas « intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel », et précise que les droits et libertés des enfants devraient systématiquement être considérés comme primant les intérêts légitimes du responsable. Il réserve ensuite pratiquement la mise en œuvre de cette exception aux personnes privées, les autorités publiques ne pouvant se prévaloir de cette exception dans l’accomplissement de leurs missions.
Ensuite en raison du tutoriel de mise en œuvre de l’exception d’intérêts légitimes. Celui-ci pourra être reconnu lorsque les personnes concernées pourront raisonnablement s’attendre, eu égard à leur relation avec le responsable du traitement, au traitement de données les concernant. Pour ce faire, la relation devra être « pertinente et appropriée ». Les esprits les plus prudents souligneront certainement – et à juste titre – l’aléa résultant de l’adverbe « raisonnablement » et de la notion de relation « pertinente et appropriée ». C’est indéniable. Le législateur européen a manifestement anticipé cette situation. Et il y a remédié en indiquant clairement deux hypothèses – et pas des moindres – dans lesquelles un traitement peut être mis en œuvre sans le consentement de la personne, parce qu’il constitue un intérêt légitime du responsable du traitement : la prévention de la fraude et la prospection !
Le RGPD pourrait-il être business-compliant ?
Le RGPD est fréquemment décrit comme une contrainte, en ce qu’il alourdit les obligations des responsables de traitements et renforce les droits des personnes concernées. Une lecture limitée aux parties codantes du RGPD confirme cette thèse, mais les 173 considérants introductifs du RGPD ne pourraient-il, à l’instar des introns de l’ADN, modifier le sens du texte ? en faire une opportunité commerciale après des années d’interprétation stricte de la loi de 1978 ?