Recevez chaque jour toute l'actualité du numérique

x

RGPD : Orange épinglé par le juge européen sur sa collecte des données personnelles "par défaut"

Une filiale d'Orange en Roumanie conservait illégalement des copies des titres d'identité de ses clients et avait été sanctionnée par l'autorité de protection des données locale. Le juge européen vient de donner raison à cette dernière, rappelant qu'une case cochée par défaut ne prouve pas le consentement d'une personne.
Twitter Facebook Linkedin Flipboard Email
×

RGPD : Orange épinglé par le juge européen sur sa collecte des données personnelles par défaut
RGPD : Orange épinglé par le juge européen sur sa collecte des données personnelles "par défaut" © Andrea Piacquadio/Pexels

La Cour de justice de l'Union européenne (CJUE) rappelle, dans une décision rendue le 11 novembre, qu'une case pré-cochée ne permet pas de prouver le consentement d'une personne, qui doit être "libre, spécifique, éclairé et univoque", d'après le Règlement général sur la protection des données.

L'affaire implique Orange Romania, la filiale locale du groupe français de télécommunications Orange. L'autorité de protection des données roumaine lui a infligé une sanction pécuniaire pour avoir collecté et conservé les copies des titres d'identité de ses clients sans leur consentement exprès.

Une case pré-cochée par défaut ne suffit pas
Dans le détail, les contrats de fourniture de services de télécommunication mobile contenaient une clause selon laquelle les clients étaient informés et consentaient à la collecte et à la conservation d'une copie de leur titre d'identité à des fins d'identification. Or, la case relative à cette clause était cochée par le responsable de traitement avant la signature du contrat.

Orange Romania a introduit un recours devant le tribunal de grande instance de Bucarest, estimant que la sanction prise par l'autorité était injustifiée. Le juge a demandé à la CJUE de lui préciser les conditions dans lesquelles le consentement des clients à un traitement de données personnelles peut être considéré comme valable ou non.

Ainsi, la juridiction européenne rappelle que le consentement n'est pas valablement donné en cas de silence, de cases cochées par défaut ou d'inactivité. En d'autres termes, le responsable de traitement ne peut pas lui-même cocher une case avant la signature du contrat. De plus, pour assurer à la personne une véritable liberté de choix, "les stipulations contractuelles ne doivent pas l'induire en erreur quant à la possibilité de conclure le contrat même si elle refuse de consentir au traitement de ses données".

Le refus n'a pas à être activement manifesté
Par ailleurs, en cas de refus du client, Orange Romania exigeait que celui-ci déclare par écrit qu'il ne consentait ni à la collecte ni à la conservation de la copie de son titre d'identité. Or, la Cour juge qu'une telle exigence est de nature à "affecter indument le libre choix de s'opposer à cette collecte et à cette conservation". En d'autres termes, une entreprise ne peut pas exiger de ses clients qu'ils manifestent activement leur refus.

Une décision similaire avait été prise par la CJUE sur les cookies. Dans un arrêt rendu en octobre 2019, elle avait jugé que le placement des cookies requiert le consentement actif des internautes, une case cochée par défaut est insuffisante. Simple en apparence, cette règle est en réalité peu respectée par les sites internet. Ainsi, une étude menée par des chercheurs du MIT, de l'université d'Aarhus et du London's Global University a conclu que seul un site sur dix respecterait les règles du RGPD liées au consentement aux cookies

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media