- Les responsables doivent documenter de manière proactive l’octroi et les consentements électroniques ; la simple conception du site web ne suffit pas comme preuve.
- Les anciens consentements légaux ne restent valables que s’ils sont conformes aux conditions du RGPD, y compris la documentation individuelle et les obligations d’information.
- L’absence de mention du droit de révocation peut rendre inefficaces les consentements donnés selon l’ancien droit ; le rattrapage (“repapering”) serait coûteux et controversé.
- Il n’est pas permis de passer arbitrairement du consentement à d’autres bases juridiques ; un changement reste en principe possible, mais il doit être justifié de manière équitable et transparente.
La DSK (Datenschutzkonferenz, l’organe des autorités allemandes de contrôle de la protection des données) a Document de synthèse n° 20 sur le consentement en vertu du RGPD a été publié. Il contient en soi peu de nouveautés, mais certaines indications sont remarquables :
- Preuve du consentementLe responsable doit être en mesure de prouver qu’il a été délivré. Cette obligation ne doit pas être comprise uniquement comme une règle de la charge de la preuve, mais comme une obligation de documentation. Les consentements électroniques doivent être consignés. La seule preuve d’une conception correcte du site web correspondant ne serait pas suffisante si le consentement ne peut pas être prouvé dans un cas particulier.
- Maintien de la validité des consentements accordés sous l’ancien régime juridiqueSelon le considérant 171, les consentements donnés avant l’entrée en vigueur du RGPD restent valables, à condition que la nature de ces consentements soit “conforme aux conditions du présent règlement” (le RGPD). Cela suppose entre autres que le consentement soit documenté au cas par cas, qu’il ait été donné volontairement, qu’il ait été donné pour le cas concret, de manière informée et sans équivoque, et que le responsable du traitement permette la révocation et informe sur la manière dont celle-ci peut être effectuée.
Le deuxième point pose problème, car il rend caducs les consentements accordés selon l’ancien droit, notamment lorsque le droit de révocation n’a pas été signalé lors de l’octroi. Ce point est contesté dans la littérature. A mon avis, cela va trop loin. Si l’on suit l’avis de la DSK, il faudrait demander à nouveau de tels consentements (“repapering”), ce qui peut s’avérer extrêmement coûteux.
En ce qui concerne le passage à une base juridique alternative, la CCPD s’exprime comme suit :
Dans ce cas, fonder le traitement des données sur une autre base juridique, par exemple la sauvegarde des intérêts légitimes du responsable du traitement ou d’un tiers (article 6, paragraphe 1, point f) du RGPD), est en principe interdit, car le responsable du traitement doit respecter les principes d’équité et de transparence (article 5, paragraphe 1, point a) du RGPD). En tout état de cause, il n’est pas possible de passer arbitrairement du consentement à d’autres bases juridiques..
La CCPD laisse donc en principe ouverte la possibilité de passer à une base juridique alternative. Cela pourrait être envisagé, par exemple, dans le cas où un consentement donné selon l’ancien droit ne serait plus valable.