Le Bureau du Commissaire à la protection des données (ODPC) a adopté fin 2023 ses lignes directrices sur le consentement comme base légale d’un traitement de données à caractère personnel.
Avec le consentement, sept autres bases légales
Les lignes directrices de l’ODPC rappellent le cadre posé par le Data Protection Act (DPA), texte national sur la protection des données à caractère personnel adopté par le Kenya le 11 novembre 2019. On y retrouve huit grands principes qui recouvrent ceux qui sont reconnus par une majorité d’instances internationales comme étant des principes essentiels de la protection des données : droit à la vie privée, principes de légalité, d’équité et de transparence du traitement, de limitation des finalités, de minimisation et d’exactitude des données, de limitation de conservation, d’intégrité et de confidentialité, et d’accountability. Une des spécificités kényanes réside dans le nombre des bases légales mobilisables par les responsables de traitement – huit. La rédaction du texte est d’ailleurs intéressante : la Section 30 dispose qu’un « responsable de traitement ne doit pas traiter de données à caractère personnel, sauf si la personne concernée donne son contentement […] ou si le traitement est nécessaire [aux autres bases légales] ». Le consentement a donc une place particulière ici, en étant distingué clairement des autres bases légales.
Là encore, malgré un nombre important, nous retrouvons dans l’esprit les bases légales partagées par une grande partie des règlementations considérées comme les plus protectrices, notamment le Règlement Général sur la Protection des Données (RGPD européen) : l’exécution d’un contrat ; le respect d’une obligation légale ; la protection d’intérêts vitaux ; la réalisation d’une mission d’intérêt public, ou par une autorité publique ou pour l’exercice, par toute personne dans l’intérêt public de toute autre fonction de nature publique ; un intérêt légitime du responsable de traitement (à mettre en balance avec les droits, libertés et intérêts légitimes de la personne concernée) ou encore la réalisation de recherches historiques, statistiques, journalistiques, littéraires, artistique ou scientifique.
Des lignes directrices très classiques, dans l’esprit de celles de l’EDPB européen
L’ODPC, dans ses lignes directrices, finalement assez courtes, rappelle que le consentement ne peut être une base légale appropriée que si la personne concernée a réellement le choix d’accepter ou de refuser le traitement de données, et que ce choix ne doit pas entraîner de conséquences négatives pour elle. Ce point est d’ailleurs une condition du caractère libre du consentement.
Le consentement doit également être donné de manière éclairée, notamment en bénéficiant de certaines informations listées par l’ODPC : l’identité du responsable de traitement et des sous-traitants, les finalités du traitement, le traitement réalisé, et le droit de retirer son consentement.
Sur l’obligation de prouver la collecte du consentement par le responsable du traitement, le DPA ne précise par les différents moyens d’y parvenir. L’ODPC préconise par exemple de tenir un registre de déclaration de consentement, qui contiendrait la date d’obtention de ceux-ci et la liste des informations qui ont été transmises à la personne concernée à ce moment-là.
Aussi, l’obtention du consentement par le responsable de traitement ne soustrait en rien ce dernier de ses autres obligations, issues du DPA. Enfin, il doit également redemander un consentement distinct en cas de changement de finalités (l’ODPC précise qu’il n’y a pas de consentement « évolutif », même en cas de « finalités compatibles »).
Le consentement est le parent pauvre des bases légales… Et c’est tant mieux !
On pense souvent que le consentement est l’alpha et l’oméga d’un traitement de données à caractère personnel, en atteste la rédaction de la Section 30 du DPA kényan évoqué ci-avant. Or, en réalité, le consentement est peu utilisé, au profit d’autres bases légales plus opportunes. En effet, avec les missions d’intérêt public, le respect des obligations légales et l’exécution d’un contrat, nous couvrons déjà un large spectre des traitements de données personnelles. Aussi, le consentement comme base légale porte en lui de nombreuses contraintes, rappelées par les lignes directrices de l’ODPC et par la Section 32 du DPA : il faut en conserver la preuve, il faut pouvoir gérer son retrait, et il faut s’assurer qu’il soit donné de manière libre, éclairée, et spécifique. D’autres bases légales nous semblent donc plus simples à mobiliser. Enfin, l’ODPC inscrit ses lignes directrices dans un cadre relativement classique et protecteur, et participe ainsi au concert des nations protectrices des données personnelles de leurs citoyens.
Par Thomas HONNET, Data Protection Officer & enseignant.