Collecte des données : la case pré-cochée ne vaut pas consentement

Collecte des données : la case pré-cochée ne vaut pas consentement
Maëva Vidal

L'agence espagnole de protection des données (AEPD) a infligé une amende de 10 000 euros aux personnes qui ont coché au préalable les cases relatives à la protection des données lors de la collecte du consentement d'une personne concernée.

Une occasion de rappeler les règles sur le consentement évoquées par la Cour de justice de l'Union européenne (CJUE) et reprises par la CNIL française sur la question des cases pré-cochées.

L'interprétation de la CJUE

Dans un arrêt du 1er octobre 2019, la Cour avait indiqué que le consentement n’est pas valablement donné lorsque le stockage d’informations est autorisé au moyen d’une case cochée par défaut, que l'utilisateur doit décocher pour refuser de donner son consentement (CJUE, 1er octobre 2019, C-673/17).

Elle retient de nouveau cette solution dans un arrêt du 11 novembre 2020 (CJUE, 11 novembre 2020, C-61/19), en énonçant que la case ayant été cochée par le responsable du traitement des données avant la signature de ce contrat n’est pas de nature à démontrer que cette personne a valablement donné son consentement.

Considérant 32 du RGPD : « Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ».

Les critères de validité du consentement rappelés par la CNIL

La CNIL a plusieurs fois rappelé que 4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être libre, spécifique, éclairé, et univoque.

D'après le dernier critère, le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer. Les cases pré-cochées ou pré-activées ne peuvent alors pas être considérées comme univoques.

Article 2.4. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Renforcement de la cybersécurité en Europe par la Directive NIS 2

La Directive NIS2 sur la cybersécurité vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementai...

Maëva Vidal

Nouvelle version 1.5.1 : planification et domaines e-mails

L'équipe R&D de Dastra s'est focalisée sur de nombreuses nouveautés.

Antoine Bidault

La protection des données personnelles : une défense nécessaire pour l'individu en cas d'abus

L'AEPD a sanctionné un syndicat de copropriété pour avoir inclus, sans le consentement de la personne concernée, le numéro de téléphone dans...

Maëva Vidal

Procédure simplifiée de la CNIL : les premières sanctions déjà en 2022 !

La CNIL inflige les premières sanctions sur la base de la procédure simplifiée.

Jérôme  de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement