Fiche thématique
17 min de lecture
1 juillet 2023
Le consentement fait partie des six bases juridiques permettant de collecter et traiter des données personnelles de manière licite. Le RGPD lui accorde une place essentielle, le terme « consentement » étant utilisé 68 fois tout au long du texte. Pour être valable, le consentement doit résulter d’un acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données la concernant. Il doit à ce titre être recueilli pour une ou plusieurs finalités précises.

Sommaire

Quel est le rôle du consentement ?

Le consentement, un des fondements juridiques autorisant le traitement de données

Le consentement permet de procéder à un traitement licite de données dans de nombreux cas dès lors qu’il est libre, éclairé, spécifique à une finalité et donné de manière univoque. En effet, on considère que le consentement, ainsi délivré, matérialise le contrôle dont dispose la personne physique sur ses données personnelles et sur les traitements qui en sont faits. Il existe, bien entendu, d’autres fondements juridiques aux traitements des données à caractère personnel : exécution d’un contrat, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne, mission d’intérêt public, exercice de l’autorité publique ou encore intérêt « légitime » du responsable du traitement (RGPD, art. 6, § 1, b à f).

Point de vue de l’AFCDP

Le consentement n’est que l’un des six fondements juridiques possibles, et ne saurait prévaloir sur les autres. En particulier, de très nombreux traitements sont nécessaires à l’exécution d’un contrat, au respect d’une obligation légale ou aux fins des intérêts légitimes du responsable du traitement, et n’ont pas besoin de recourir au consentement. Sans parler des traitements réalisés par les services publics pour leurs missions.

Remarque

La notion de consentement est centrale au sein du RGPD, mais aussi dans le futur règlement ePrivacy qui reprend et adapte les principes du RGPD pour les services de communications électroniques et l’ensemble des technologies de tracking (Doc. COM (2017) 10 final, 10 janv. 2017). Le CEPD a précisé qu’en vertu de ce nouveau règlement, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ). Sur la gestion des cookies et autres traceurs, voir la fiche Connaître les règles relatives au dépôt de cookies.

Pas de consentement sans information appropriée

La rigueur des dispositions relatives à la gestion du consentement démontre l’importance accordée par le législateur européen à cette notion. Le RGPD renforce ainsi deux principes qui préexistaient dans la directive 95/46/CE du 24 octobre 1995 et dans la loi Informatique et libertés qui l’a transposée : la transparence des traitements (RGPD, art. 13 ) et l’expression du consentement (RGPD, art. 6 à 8) dont il est expressément prévu qu’il peut être révoqué à tout moment (RGPD, art. 7 ). Ces principes sont intimement liés car la personne doit nécessairement être informée des caractéristiques du traitement avant de pouvoir consentir à celui-ci, de manière éclairée. L’information circonstanciée, si elle peut suffire à certains traitements, constitue donc le préalable indispensable à l’expression d’un consentement éclairé.

Quels sont les critères d’un consentement valable ?

Cinq conditions pour un consentement valable

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, 11). Cinq conditions doivent être remplies pour que le consentement donné soit considéré comme valable.

Le consentement doit être donné librement

Cette condition implique un choix et un contrôle réel pour la personne concernée. Autrement dit, cette dernière ne doit pas se sentir contrainte de consentir ou de subir des conséquences négatives si elle ne donne pas son consentement ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ).

Remarque

Le consentement ne constitue une base juridique appropriée que si la personne dispose d’un contrôle réel concernant l’acceptation ou le refus des mentions transmises. Selon la CNIL, ce choix réel n’existe pas lorsqu’une fenêtre contextuelle offre à l’utilisateur deux onglets cliquables : « j’accepte ou plus tard » ( Délib. CNIL MED-2018-043, 8 oct 2018 ).

Cette condition de liberté doit également s’analyser en tenant compte du déséquilibre des rapports de force pouvant exister entre la personne concernée et le responsable du traitement ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 43). Ainsi, il sera difficile pour une autorité publique ou pour un employeur de pouvoir fonder leurs traitements sur le consentement des personnes concernées dans la mesure où, dans la plupart des cas, la personne concernée n’aura pas d’autre solution que d’accepter le traitement. Cela ne signifie toutefois pas que les autorités publiques ou les employeurs ne peuvent jamais avoir recours au consentement en tant que base juridique pour le traitement de données.

Remarque

Exemple : une équipe de tournage va filmer dans un bureau et l’employeur demande le consentement de tous les employés travaillant dans la zone s’ils acceptent d’apparaître en arrière-plan de la vidéo. Ceux qui ne souhaitent pas être filmés ne sont pénalisés en aucune façon, car ils peuvent disposer de bureaux ailleurs dans le bâtiment pendant le tournage.

De manière générale, le consentement est considéré comme donné de manière libre, lorsqu’il n’existe aucun risque de déception, d’intimidation ou de coercition en cas de refus de la personne concernée.

Pour déterminer si le consentement est donné librement, il y a également lieu de tenir compte de la situation spécifique de l’intégration du consentement dans un contrat ou de son association à la fourniture d’un service. En effet, ainsi qu’indique l’article 7, § 4 du RGPD, l’exécution d’un contrat, y compris la fourniture d’un service, ne devrait pas être subordonnée au consentement au traitement de données qui n’est pas nécessaire à l’exécution dudit contrat. Le consentement est présumé ne pas avoir été donné librement s’il a été donné dans une telle situation ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 43).

A titre d’illustration, il n’est pas possible pour un fournisseur de services de télécommunications d’inclure une clause dans les contrats indiquant que le client a été informé et a consenti à la collecte et à la conservation de ses données (en l’espèce, Orange Romania conservait les copies des titres d’identité de ses clients qu’il annexait à leurs contrats). La CJUE a considéré que cela ne constituait pas une preuve d’un consentement valable en l’absence d’un acte positif de la part des personnes concernées. De même, la juridiction de renvoi devra vérifier si les stipulations contractuelles en cause étaient de nature à induire la personne en erreur quant à la possibilité de conclure le contrat malgré son refus de consentir au traitement de ses données personnelles. Enfin, Orange exigeait, en cas de refus du consentement du client, que ce dernier le déclare par écrit dans un formulaire spécifique ce qui, selon la Cour, est de nature à affecter le libre choix du client de s’opposer à la collecte et à la conservation de ses données ( CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania SA ). La CJUE estime donc que le consentement n’est pas valablement donné dès lors que :

  • la case se référant à cette clause a été cochée par le responsable du traitement avant la signature du contrat,
  • ou que, les stipulations contractuelles sont susceptibles d’induire la personne en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données,
  • ou que, le libre choix de s’opposer à cette collecte et à cette conservation est affecté dûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.

En outre, lorsqu’un service implique de multiples opérations de traitements à différentes fins, les personnes concernées devraient être libres de donner un consentement distinct pour chaque finalité, plutôt que de devoir consentir à un ensemble de finalités ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérants 32 et 43).

Enfin, le responsable du traitement doit démontrer qu’il est possible de refuser ou de retirer son consentement sans subir de préjudice ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 42).

Le consentement doit être spécifique

Les finalités pour lesquelles sont collectées les données doivent être énoncées de manière spécifique, c’est-à-dire détaillée et précise, non évasive, ni équivoque. Il n’est plus question de mentionner des finalités qui seraient trop génériques ou englobantes, car ce serait prendre le risque que la CNIL considère le consentement comme trompé par le caractère trop vague ou générique des objectifs poursuivis.

Remarque

Exemple : dans une affaire concernant le traitement de données de géolocalisation à des fins de ciblage publicitaire, la CNIL a précisé que « le fait de présenter l’ensemble des finalités en offrant seulement à l’utilisateur la possibilité d’accepter en bloc ne permet pas de donner un consentement spécifique pour l’utilisation du SDK » (pour « Software Development Kit »). Le consentement ne doit pas concerner l’ensemble des informations ( Délib. CNIL MED-2018-043, 8 oct 2018 ). De même, la CNIL a considéré que Google n’a pas respecté le caractère spécifique du consentement pour la personnalisation de la publicité, dès lors qu’en créant son compte, l’utilisateur était invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Google s’est vu infligé une sanction de 50 millions d’euros ( Délib. CNIL SAN-2019-001, 21 janv. 2019 ), confirmée par le Conseil d’État ( CE, 19 juin 2020, no 430810 ) compte tenu de « la gravité particulière des manquements commis ».

Il faut, comme à chaque fois lorsqu’il s’agit d’interpréter le RGPD, se placer du côté de la personne concernée, afin d’analyser ce à quoi elle peut s’attendre en prenant connaissance des finalités exposées. Elle ne délivre en effet son consentement que pour les finalités qui lui sont clairement exposées ou qu’elle peut légitimement et raisonnablement croire incluses dans le traitement qui lui est présenté.

Remarque

Se pose alors la question des « sous-finalités » : à notre sens, le RGPD ne va pas jusqu’à introduire un formalisme trop poussé qui impliquerait de lister chacune des tâches propres à un traitement. Par exemple, la « prospection commerciale » est une finalité qui inclut le plus souvent des opérations de segmentation, de comptage, d’e-mailing, d’analyse, etc. Le consentement s’applique à la finalité et porte donc sur l’ensemble des opérations qui y concourent, sans qu’il soit nécessaire de les lister. Ainsi, le degré de précision est plus opérationnel que technique.

Le RGPD impose donc d’être plus précis dans les finalités annoncées et, idéalement, d’indiquer clairement quelles données sont utilisées pour quelle finalité. Évidemment, la pratique permettra des regroupements, mais dans un premier temps les organismes devront être très précis dans leur présentation des finalités poursuivies et dans l’identification des finalités qui leur sont nécessaires, finalité par finalité.

Le CEPD précise que, pour se conformer au caractère « spécifique » du consentement, le responsable du traitement doit garantir :

  • la spécification des finalités en tant que garantie contre tout détournement d’usage ;
  • le caractère détaillé des demandes de consentement ;
  • la séparation claire des informations liées à l’obtention du consentement au traitement des données et des informations concernant d’autres sujets ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ).

Le consentement doit être éclairé

La notion de consentement éclairé n’est pas nouvelle et n’est pas réservée aux seuls cas des traitements de données à caractère personnel. Le CEPD considère qu’avant de donner son consentement, la personne concernée devrait au moins être informée ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ) :

  • de l’identité du responsable du traitement ;
  • de la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité ;
  • du type de données à caractère personnel collectées et traitées ;
  • de l’existence du droit de retirer le consentement ;
  • des informations concernant l’utilisation des données pour la prise de décision automatisée, y compris le profilage ;
  • des informations sur les risques éventuels liés aux transferts de données en dehors de l’UE en raison d’absence de décision d’adéquation et de garanties appropriées.

Ces informations doivent être communiquées par différents moyens et le langage utilisé doit être clair, simple et facilement compréhensible.

Remarque

L’information à donner aux personnes concernées lors du recueil du consentement se distingue de celle à donner sur le fondement des articles 13 et 14 du RGPD. Ainsi, un consentement peut être considéré comme donné de manière éclairée quand bien même tous les éléments requis par les articles 13 et 14 n’auraient pas été mentionnés lors du recueil du consentement.

En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Une déclaration de consentement rédigée préalablement par le responsable du traitement doit être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne doit contenir aucune clause abusive ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 42).

Remarque

Exemple : contestant le mode d’affichage des conditions générales de Google, le CEPD recommande que les clauses soient « facilement localisables » et que la politique de confidentialité soit accessible par un seul clic (G29, Appendix : list of possible compliance measures, 2014 ; G29, Avis 02/2013 sur les applications destinées aux dispositifs intelligents, 27 févr. 2013, p. 29 ). De même, dans sa délibération du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google, la CNIL a estimé que le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité n’était pas suffisamment éclairé. En effet, l’information sur ces traitements, diluée dans plusieurs documents, ne permettait pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’était pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google Search, Youtube, Google Home, Google Maps, Play Store, Google Photos…) et donc du volume de données traitées et combinées ( Délib. CNIL SAN-2019-001, 21 janv. 2019 ).

Le consentement doit être univoque

Un consentement valable nécessite une manifestation de volonté univoque :

  • par une déclaration,
  • ou par un acte positif clair (RGPD, art. 4, 11).

Le CEPD précise qu’un « acte positif clair » signifie que la personne concernée doit avoir posé un acte délibéré afin de donner son consentement au traitement spécifique. Le considérant 32 du RGPD établit des orientations complémentaires à cet égard. Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique.

On assiste ici à la consécration de l’« opt-in » qui traduit une exigence d’un acte positif de la part de la personne concernée. Le recours aux cases cochées par défaut, et donc aux mécanismes d’« opt-out », est donc exclu ( Délib. CNIL SAN-2019-001, 21 janv. 2019 ). Le RGPD n’autorise pas non plus les options de refus nécessitant une action de la personne concernée pour signaler son refus.

La CNIL a sanctionné une société agissant en qualité de responsable conjointe du traitement lorsque, sur certains de ses sites partenaires, l’utilisateur ne pouvait faire valoir son refus que par un paramétrage de son navigateur ( CNIL, délib., 15 juin 2023, SAN-2023-009 ).

Remarque

L’acceptation globale des conditions générales ne peut être considérée comme un acte positif clair visant à donner son consentement à l’utilisation de données à caractère personnel.

Le consentement peut être retiré à tout moment

C’est une nouveauté par rapport à la directive 95/46/CE du 24 octobre 1995. La personne concernée dispose, en vertu de l’article 7, § 3 du RGPD, de la possibilité de retirer son consentement « à tout moment ».

Le consentement doit pouvoir être retiré aussi facilement qu’il a été donné, et à titre gratuit. Il est donc important pour le responsable du traitement de prévoir un mécanisme de retrait des consentements. Le CEPD précise d’ailleurs que ce droit au retrait est essentiel, et que si la personne concernée n’a pas la possibilité de l’exercer facilement, le consentement ne pourra pas être reconnu comme valable ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ).

Lorsque la personne concernée retire son consentement, toutes les opérations réalisées antérieurement sur la base de ce dernier demeurent licites. Néanmoins, une fois le retrait exercé, le responsable du traitement sera tenu d’interrompre toutes les activités de traitement reposant sur ce consentement. En outre, s’il n’existe pas d’autre fondement juridique au traitement, le responsable du traitement doit supprimer ou anonymiser les données de la personne concernée (RGPD, art. 17, § 1, b et § 3).

Cas particulier des mineurs

Le RGPD pose des conditions particulières applicables au consentement des mineurs puisqu’ils ne sont pas dotés de la pleine capacité juridique (RGPD, art. 8 ). Il serait donc illusoire de prétendre exiger d’eux le consentement libre et éclairé qui leur fait par ailleurs défaut s’il s’agit de nouer un contrat. Ce régime spécifique vise à protéger les mineurs et ne vaut que pour les services relatifs à la société de l’information proposés directement à ces derniers. Cela signifie que tout site internet qui indique clairement qu’il n’est accessible qu’aux personnes âgées de plus de 16 ans, ne sera pas considéré comme offrant des services directement aux mineurs.

Le RGPD prévoit que lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Néanmoins, les États membres ont la possibilité de prévoir un âge inférieur pour autant qu’il ne soit pas en dessous de 13 ans. En France, la « majorité numérique » a été fixée à 15 ans (L. n° 78-17, 10 janv. 1978, art. 45 ).

Les responsables du traitement doivent mettre en place des mécanismes permettant de vérifier l’âge des personnes concernées, et le cas échéant, lorsqu’elles déclarent être en dessous de l’âge de la « majorité numérique », des mécanismes permettant d’obtenir le consentement du titulaire de la responsabilité parentale. Ils doivent mettre en œuvre des efforts raisonnables pour s’assurer de la validité du consentement obtenu par ce titulaire. Une fois que la personne concernée mineure aura atteint la « majorité numérique », le consentement préalablement obtenu expirera et le responsable du traitement sera tenu d’obtenir un nouveau consentement directement auprès de cette dernière ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ).

Traitement de données pour des nouvelles finalités

En vertu du RGPD, chaque donnée est collectée dans l’optique d’une finalité et chaque traitement est mis en œuvre pour parvenir à cette finalité précisément. La problématique des finalités secondaires se pose donc avec notamment le risque des finalités incompatibles qui s’ajoutent dans le temps. Après des débats houleux et plusieurs versions du texte, le RGPD a finalement adopté une approche restrictive : une donnée ne peut être utilisée que pour la finalité annoncée, et pas pour une autre, fût-elle intellectuellement proche. Cependant, le traitement pour une finalité autre que celle pour laquelle le consentement a été donné est autorisé si le responsable du traitement détermine que la nouvelle finalité est « compatible » avec la finalité initiale, en tenant compte notamment (RGPD, art. 6, § 4) :

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur envisagé ;
  • du contexte dans lequel les données ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
  • de la nature des données, en particulier si le traitement porte sur des données sensibles ou si des données relatives à des condamnations pénales et à des infractions sont traitées ;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Remarque

Le Conseil d’État a considéré que c’est à bon droit que la CNIL a pu estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs, dits « en un clic » ( CE, 10 déc. 2020, no 429571 ). La CNIL avait expliqué sur ce sujet que « la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs, éventuellement pouvoir procéder à un achat en “un clic”, va au-delà de l’exécution du contrat conclu et du service attendu par la personne lorsqu’elle fait ponctuellement un achat en ligne ».

Comment organiser le recueil et la gestion des consentements ?

Formaliser une demande de consentement

En pratique, la demande de consentement doit être formalisée de manière circonstanciée. La rédaction de la mention doit être particulièrement compréhensible et exhaustive, la lisibilité et l’accessibilité incontestables.

Adapter les processus de traitement de l’information

Le responsable du traitement doit intégrer en amont, dans ses processus de traitement de l’information, à la fois la traçabilité des consentements obtenus et la possibilité de retrait du consentement de l’utilisateur, retrait auquel il devra systématiquement donner droit si la demande en est formulée. La simplicité du retrait de l’autorisation nécessitera la simplification voire l’automatisation de cette demande, tout en articulant cette fonction avec d’autres exigences réglementaires comme les obligations légales de conservation de preuve ou d’archivage.

Organiser la traçabilité des consentements

Le responsable du traitement doit gérer la preuve et organiser la traçabilité des actions autour du consentement. La mise en œuvre de cette traçabilité pose un ensemble de questions. Quand et comment le consentement a-t-il été obtenu ? Comment prouver que le retrait du consentement a fait l’objet d’une gestion appropriée ? Comment identifier les finalités non fondées sur l’obtention du consentement ? Comment prouver que ces traitements bénéficient de mesures de traçabilité et de sécurité appropriées ?

Les réponses à ces questions, conformément à l’esprit même du règlement, devront être techniques : ce sont les outils de collecte et de traitement qui devront permettre de recueillir et tracer ces consentements, ceux-ci devant systématiquement accompagner les données auxquelles ils s’appliquent. Il importe de lier, sur le plan juridique mais aussi technique, les données collectées, les finalités poursuivies et les consentements qui ont été recueillis pour assurer la licéité du traitement.

Renouveler les consentements obtenus sans preuve

Pour les traitements qui reposent sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant (RGPD, art. 7, § 1). Si la preuve du consentement n’a pas été conservée, des régularisations a posteriori sont recommandées, à l’instar de ce qui existe déjà en matière de « collecte secondaire ». On peut imaginer des courriers sous forme de circulaires adressés à l’ensemble des personnes concernées, permettant de leur apporter après coup une information circonstanciée et sollicitant leur consentement. Bien des organismes redoutent de telles démarches car elles font courir un risque de dépréciation des fichiers par refus des consentements émanant des personnes ainsi recontactées. Toutefois, sans trace de consentements initiaux, ces fichiers ne sont pas juridiquement sécurisés, ce qui peut entraîner la responsabilité de l’organisme.

Remarque

Le RGPD ne permet pas de passer d’une base juridique à une autre. Il s’ensuit que si un responsable du traitement n’est pas en mesure de renouveler le consentement au moyen d’un mécanisme conforme au RGPD, il ne peut pas fonder son traitement des données sur une autre base juridique et doit dès lors interrompre les activités de traitement.

Pas besoin de renouveler les consentements conformes obtenus avant le RGPD

L’entrée en application du RGPD le 25 mai 2018 n’a pas vocation à remettre en cause l’existence et la validité des traitements de données mis en œuvre avant cette date ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 171). Un traitement mis en œuvre sous le régime de la directive 95/46/CE et de la loi Informatique et libertés demeure donc licite s’il respecte toutes les conditions de licéité énoncées dans le RGPD. Ainsi, si le consentement de la personne concernée recueilli avant l’entrée en application du RGPD était conforme à ses exigences, alors ce consentement reste valable.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté
Questions fréquemment posées

Le consentement de la personne concernée est-il toujours nécessaire ?

Non. Le consentement n’est qu’un des six fondements susceptibles de service de base légale à un traitement de données personnelles (RGPD art. 6). Lorsque le traitement est fondé sur une autre base, par exemple lorsqu’il est nécessaire à l’exécution d’un contrat ou au respect d’une obligation légale, le consentement n’est pas requis.

Qu’est-ce que la majorité numérique au regard du traitement des données personnelles ?

C’est l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles dans le cadre d’un service relatif à la société de l'information (réseaux sociaux, newsletter, plateformes, etc.). En France, cet âge est fixé à 15 ans (Loi informatique et libertés art. 45).

Lorsque l’enfant est âgé de moins de 15 ans, la Loi informatique et libertés impose au responsable de traitement de recueillir le consentement conjoint du mineur et du titulaire de l’autorité parentale.

Les dernières actualités dans ce thème
Cyberattaque : quelles obligations pour le responsable d’un traitement ?
Droit des affaires
Protection des données personnelles (RGPD)
Cyberattaque : quelles obligations pour le responsable d’un traitement ?
27 févr. 2024