Parmi les conditions de licéité d’un traitement de données à caractère personnel alternatives au consentement, le nouveau règlement général sur la protection des données (GDPR) prévoit, dans la continuité de l’actuelle loi Informatique & Libertés, qu’un traitement est autorisé si et dans la mesure où il est “nécessaire à l’exécution d’un contrat auquel la personne concernée est partie” (article 6.1.b) : dans un tel cas, donc, nul besoin a priori de consentement au sens du GDPR.
Le serpent paraît cependant se mordre la queue lorsqu’on se rappelle que le droit civil français, à peine remanié à cet égard par la récente ordonnance du 10 février 2016, exige pour la validité d’un contrat la réunion de quatre conditions fondamentales, les quatre C canoniques : Capacité, Consentement, Cause, … Cobjet. Le consentement réapparaît donc dans l’ombre du contrat ; mais est-ce vraiment le même ?
Les articles 4.11 et 7 du GDPR, qui fixent les modalités d’un consentement valable, ne s’appliquent à l’évidence qu’au consentement tel que défini par le GDPR lui-même, à savoir le consentement au traitement, condition de licéité de l’article 6.1.a, et non pas le consentement au contrat impliquant un traitement. Autrement dit : rien n’impose que le consentement au contrat dont l’exécution nécessite un traitement de données à caractère personnel soit “libre, spécifique, éclairé et univoque” (article 4.11), ou encore puisse être retiré aussi facilement qu’il a été donné (article 7). On le comprend aisément : si tel était le cas, alors il n’existerait, de fait, aucune différence entre la base légale de l’article 6.1.a et celle de l’article 6.1.b.
Prudence cependant : à bien y regarder, une partie au moins de ces modalités est tout de même recomposée par le biais d’autres principes du GDPR. Le traitement doit en effet être “loyal” et “transparent” (article 5.1.a), et le responsable du traitement reste tenu d’une obligation d’information (articles, 12, 13 et 14), de sorte que le consentement au contrat devra malgré tout être, d’une certaine manière, “éclairé“. De même, on rappellera que seuls les traitements véritablement “nécessaires” à l’exécution du contrat peuvent être couverts par ce contrat, de sorte qu’il ne devrait pas être possible de profiter de la souscription d’un contrat pour imposer au cocontractant une collecte ou d’autres traitements de données superflus – comme, par exemple, l’inscription automatique à la newsletter de l’entreprise…
