L'agence espagnole de protection des données (AEPD) a infligé une amende de 10 000 euros aux personnes qui ont coché au préalable les cases relatives à la protection des données lors de la collecte du consentement d'une personne concernée.
Une occasion de rappeler les règles sur le consentement évoquées par la Cour de justice de l'Union européenne (CJUE) et reprises par la CNIL française sur la question des cases pré-cochées.
L'interprétation de la CJUE
Dans un arrêt du 1er octobre 2019, la Cour avait indiqué que le consentement n’est pas valablement donné lorsque le stockage d’informations est autorisé au moyen d’une case cochée par défaut, que l'utilisateur doit décocher pour refuser de donner son consentement (CJUE, 1er octobre 2019, C-673/17).
Elle retient de nouveau cette solution dans un arrêt du 11 novembre 2020 (CJUE, 11 novembre 2020, C-61/19), en énonçant que la case ayant été cochée par le responsable du traitement des données avant la signature de ce contrat n’est pas de nature à démontrer que cette personne a valablement donné son consentement.
Considérant 32 du RGPD : « Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ».
Les critères de validité du consentement rappelés par la CNIL
La CNIL a plusieurs fois rappelé que 4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être libre, spécifique, éclairé, et univoque.
D'après le dernier critère, le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les cases pré-cochées ou pré-activées ne peuvent alors pas être considérées comme univoques.
Article 2.4. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».