CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MACIEJ SZPUNAR
présentées le 4 mars 2020 ( 1 )
Affaire C‑61/19
Orange România SA
contre
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
[demande de décision préjudicielle formée par le Tribunalul Bucureşti (tribunal de grande instance de Bucarest, Roumanie)]
« Renvoi préjudiciel – Directive 95/46/CE – Règlement (UE) 2016/679 – Protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données – Services de télécommunications mobiles – Notion de “consentement de la personne concernée” – Manifestation de volonté spécifique et informée – Déclaration de consentement par le biais d’une case à cocher – Charge de la preuve »
1. La présente demande de décision préjudicielle, introduite par le Tribunalul Bucureşti (tribunal de grande instance de Bucarest, Roumanie), trouve son origine dans un litige opposant un fournisseur de services de télécommunications à une autorité nationale de protection des données au sujet des obligations qui incombent à ce fournisseur dans le cadre de négociations contractuelles avec un client lorsqu’il s’agit de collecter et de conserver une copie de carte d’identité.
2. En l’occurrence, la Cour aura l’occasion de préciser davantage la notion de « consentement de la personne concernée », qui, en tant qu’élément central du droit de l’Union en matière de protection des données, est en fin de compte ancré dans le droit fondamental à la protection des données. À cet égard, la Cour devrait également se pencher sur la question de la charge de la preuve quant au point de savoir si la personne concernée a ou non donné son consentement.
Le cadre juridique
Le droit de l’Union
La directive 95/46/CE
3. L’article 2, sous h), de la directive 95/46/CE ( 2 ) prévoit que « [a]ux fins de la présente directive, on entend par […] “consentement de la personne concernée”, toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
4. Le chapitre II de cette directive définit les conditions générales de licéité des traitements de données à caractère personnel.
5. L’article 6 de ladite directive, portant sur les principes relatifs à la qualité des données ( 3 ), est libellé de la manière suivante :
« 1. Les États membres prévoient que les données à caractère personnel doivent être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;
[…]
2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »
6. L’article 7 de la même directive portant sur les principes relatifs à la légitimation des traitements de données ( 4 ) dispose :
« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle‑ci ;
[…] »
Le règlement (UE) 2016/679
7. Conformément à l’article 4, point 11, du règlement (UE) 2016/679 ( 5 ), « aux fins du présent règlement, on entend par […] “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
8. L’article 6, paragraphe 1, sous a) et b), de ce règlement est rédigé dans les termes suivants :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle‑ci ».
9. L’article 7, paragraphe 1, dudit règlement énonce que « [d]ans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».
Le droit roumain
10. La legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (loi no 677/2001 sur la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, ci‑après la « loi no 677/2001 ») ( 6 ) vise à transposer les dispositions de la directive 95/46 en droit national.
11. L’article 32 de cette loi se lit comme suit :
« Le traitement de données à caractère personnel effectué par un responsable de traitement ou par une personne habilitée par ce dernier en violation des articles 4 à 10 ou en méconnaissance des droits prévus aux articles 12 à 15 ou à l’article 17, constitue une infraction administrative, si elle n’est pas commise dans des conditions constitutives d’une infraction pénale, et est punie d’une amende de [1000] RON à [25000] RON. »
Les faits, la procédure et les questions préjudicielles
12. Orange România SA fournit des services de télécommunications mobiles sur le marché roumain, soit sous le régime du prépaiement ( 7 ), soit au moyen de la conclusion d’un contrat de fourniture de services ( 8 ).
13. Le 28 mars 2018, l’Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autorité nationale de surveillance du traitement des données à caractère personnel, ci‑après l’« autorité nationale ») a, sur le fondement de l’article 32 de la loi no 677/2001, lu en combinaison avec l’article 8 de cette loi, dressé un procès-verbal comportant une sanction administrative à l’encontre d’Orange România pour avoir collecté et conservé des copies de titres d’identité de ses clients
sans le consentement exprès de ces derniers.
14. À cet égard, l’autorité nationale a relevé qu’Orange România avait conclu par écrit des contrats de fourniture de services de télécommunications mobiles avec des personnes physiques dans les locaux commerciaux et que les copies de leurs titres d’identité étaient annexées à ces contrats. Ces contrats consignent notamment le fait que les clients ont été informés et ont donné leur accord à la collecte et à la conservation (par Orange România) de ces copies et que l’existence du consentement des
clients avait été établie par l’insertion de croix dans des cases figurant dans les clauses contractuelles.
15. Les clauses pertinentes des contrats en question sont rédigées de la manière suivante :
« Le client déclare ce qui suit :
i) il a été informé avant la conclusion du contrat du plan tarifaire choisi, des tarifs applicables, de la durée minimale du contrat, des conditions dans lesquelles celui‑ci prend fin, des conditions d’accès aux services et d’utilisation de ceux‑ci, y compris en ce qui concerne les zones de couverture des services, conformément aux dispositions de l’article 11 de la décision ANCOM [Autorité nationale de gestion et de régulation des communications] no 158/2015 et aux dispositions de l’ordonnance
gouvernementale d’urgence no 34/2014, et du droit de résiliation unilatérale qui peut être exercé conformément à l’article 1.17 des conditions générales pour l’utilisation des services d’Orange ;
ii) Orange România a mis à la disposition du client toutes les informations nécessaires pour qu’il puisse exprimer un consentement non vicié, exprès, libre et spécifique en ce qui concerne la conclusion du contrat et l’engagement exprès afférent à celui‑ci, y compris l’ensemble de la documentation contractuelle – les conditions générales pour l’utilisation des services d’Orange et la brochure sur les tarifs et services ;
iii) il a été informé et a donné son consentement en ce qui concerne :
le traitement des données à caractère personnel aux fins prévues à l’article 1.15 des conditions générales pour l’utilisation des services d’Orange ;
la conservation [par Orange] de copies des actes contenant des données à caractère personnel à des fins d’identification ;
l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) à des fins de marketing direct ;
l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) aux fins de la réalisation d’études de marché ;
après lecture, je donne mon accord exprès à la conservation de copies des actes contenant des données à caractère personnel sur l’état de santé ;
ne pas inclure les données mentionnées à l’article 1.15, paragraphe 10, des conditions générales pour l’utilisation des services d’Orange dans les services d’information sur les abonnés et les annuaires. »
16. Selon l’autorité nationale, Orange România n’a pas apporté la preuve que les clients avaient eu un choix informé quant à la collecte et à la conservation des copies de leurs titres d’identité.
17. Orange România a introduit un recours devant la juridiction de renvoi pour contester l’amende du 28 mars 2018.
18. Selon les constatations de la juridiction de renvoi, il existe, d’une part, des contrats dans lesquels le choix librement exprimé par le client en ce qui concerne la conservation d’une copie de son titre d’identité est indiqué par l’insertion d’une croix dans une case et, d’autre part, des cas de figure opposés, dans lesquels les clients ont refusé d’exprimer un tel accord. Il ressortirait des « procédures internes » de vente d’Orange România que, dans ces cas de figure, cette dernière a
introduit les mentions nécessaires au regard du refus du client concernant la conservation d’une copie du titre d’identité en complétant un formulaire spécifique en ce sens et a ensuite procédé à la conclusion du contrat. Ainsi, malgré les indications figurant dans ses règles générales de vente, Orange România n’aurait pas refusé de conclure des contrats d’abonnement avec des clients, même lorsque ceux‑ci ont refusé de consentir à la conservation de la copie de leur carte d’identité.
19. La juridiction de renvoi considère que, dans ces circonstances, il est particulièrement important que la Cour se prononce sur les critères permettant de déterminer si un consentement est « spécifique » et « informé » ainsi que, le cas échéant, sur la valeur probante de la signature de contrats tels que ceux en cause dans l’affaire au principal.
20. Dans ces conditions, le Tribunalul Bucureşti (tribunal de grande instance de Bucarest) a, par ordonnance du 14 novembre 2018, parvenue à la Cour le 29 janvier 2019, déféré les questions suivantes à titre préjudiciel :
« 1) Au sens de l’article 2, sous h), de la [directive 95/46], quelles sont les conditions qui doivent être remplies pour que l’on puisse considérer qu’une manifestation de volonté est spécifique et informée ?
2) Au sens de l’article 2, sous h), de la [directive 95/46], quelles sont les conditions qui doivent être remplies pour que l’on puisse considérer qu’une manifestation de volonté est librement exprimée ? »
21. Des observations écrites ont été déposées par les parties au principal, par les gouvernements roumain, italien, autrichien et portugais, ainsi que par la Commission européenne. Orange România, le gouvernement roumain et la Commission étaient représentés à l’audience qui s’est tenue le 11 décembre 2019.
Appréciation
22. Dans la présente affaire, la Cour est invitée à préciser les conditions dans lesquelles le consentement au traitement de données à caractère personnel peut être considéré comme valable.
Remarques liminaires
Sur les instruments juridiques applicables
23. Le règlement 2016/679, qui est applicable depuis le 25 mai 2018 ( 9 ), a abrogé la directive 95/46 avec effet à cette même date ( 10 ).
24. La décision de l’autorité nationale en cause au principal a été adoptée le 28 mars 2018, date qui précède celle de l’entrée en vigueur du règlement 2016/679. Toutefois, l’autorité nationale a non seulement infligé une amende à Orange România, mais a également exigé de celle‑ci qu’elle détruise les copies des titres d’identité en cause. Le litige au principal porte également sur cette injonction. Celle-ci produit ses effets pour l’avenir, raison pour laquelle ce règlement semble applicable
ratione temporis.
25. Partant, il y a lieu de répondre à la question posée en tenant compte à la fois de la directive 95/46 et du règlement 2016/679 ( 11 ). En outre, ce dernier devra être pris en compte dans l’analyse des dispositions de la directive 95/46 ( 12 ).
La délimitation de la portée des questions préjudicielles
26. Les deux questions posées par la juridiction de renvoi sont formulées de manière trop générale et abstraite et doivent être adaptées de manière à les rattacher aux faits de l’affaire au principal, afin de guider la juridiction de renvoi et d’apporter une réponse utile aux questions. Pour ce faire, il me semble indispensable de rappeler brièvement les faits du litige au principal tels qu’ils résultent de la décision de renvoi et des indications fournies par les parties au litige, notamment lors
de l’audience devant la Cour.
27. L’Autorité nationale a sanctionné Orange România pour avoir collecté et conservé des copies de titres d’identité de ses clients sans le consentement de ceux‑ci. Elle a constaté que cette société avait conclu des contrats de fourniture de services de télécommunications mobiles et que les copies des titres d’identité y étaient annexées. Ces contrats auraient stipulé que les clients avaient été informés et avaient donné leur consentement à la collecte et à la conservation de ces copies, comme en
témoignerait l’insertion de croix dans des cases figurant dans les clauses contractuelles. Or, selon les constatations de l’autorité nationale, Orange România n’a pas apporté la preuve que, au moment de la conclusion des contrats, les clients concernés avaient un choix informé quant à la collecte et à la conservation de ces copies.
28. Lorsqu’un représentant d’Orange România porte à la connaissance d’une personne désireuse d’entrer dans une relation contractuelle avec cette société les stipulations d’un contrat spécifique, il utilise, généralement sur ordinateur, un modèle de contrat contenant une case à cocher relative à la conservation d’une copie de titre d’identité. Le client semble informé que cette case ne doit pas nécessairement être cochée. Si le client ne consent pas à la collecte et à la conservation de la copie de
son titre d’identité, il doit le signaler, sur le contrat et en écriture manuscrite. Cette dernière obligation d’écriture manuscrite semble résulter des règles internes de vente d’Orange România. Le client est également informé de la possibilité d’opposer un refus, mais seulement oralement et non par écrit.
29. Dans ce contexte, je comprends que, par ses deux questions qu’il convient d’examiner ensemble, la juridiction de renvoi cherche à savoir si la personne concernée qui entend nouer une relation contractuelle relative à la fourniture de services de télécommunications avec une entreprise donne à celle‑ci son consentement « spécifique et informé » et « librement exprimé » au sens de l’article 2, sous h), de la directive 95/46 et de l’article 4, point 11, du règlement 2016/679 dès lors qu’elle doit
indiquer, par écrit, dans un contrat par ailleurs standardisé, qu’elle refuse de consentir à la collecte et à la conservation de la copie de ses titres d’identité.
30. À cet égard, la juridiction de renvoi semble devoir être éclairée sur la charge et le niveau de la preuve incombant à cette entreprise.
Le consentement comme condition préalable au traitement des données à caractère personnel
31. La présente affaire concerne le traitement de données à caractère personnel lors de la conclusion d’un contrat de fourniture de services de télécommunications.
32. Tout traitement de données à caractère personnel doit, d’une part, être conforme ( 13 ) aux principes relatifs à la qualité des données énoncés à l’article 6 de la directive 95/46 ou à l’article 5 du règlement 2016/679 et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de cette directive ou à l’article 6 de ce règlement ( 14 ). Comme le souligne la Commission, les six principes énoncés à l’article 7 de la directive 95/46
sont en fait l’expression d’un principe plus large, établi à l’article 6, paragraphe 1, sous a), de cette directive, qui prévoit que les données à caractère personnel doivent être traitées loyalement et licitement.
33. L’article 7 de la directive 95/46 établit une liste exhaustive des cas dans lesquels le traitement de données à caractère personnel peut être considéré comme licite ( 15 ). Le traitement des données à caractère personnel ne peut avoir lieu que si au moins un des six principes relatifs à la légitimation du traitement des données s’applique. L’existence du consentement indubitable de la personne concernée constitue l’un de ces principes.
Sur la notion de « consentement »
34. Le consentement de la personne concernée est, quant à lui, défini à l’article 2, sous h), de la directive 95/46 comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.
35. Cette formulation correspond en grande partie ( 16 ) à celle de l’article 4, point 11, du règlement 2016/679, selon lequel, par le consentement de la personne concernée, on entend toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ( 17 ).
36. L’exigence du consentement de la personne concernée est une caractéristique essentielle du droit de l’Union en matière de protection des données ( 18 ). Elle figure dans la charte des droits fondamentaux de l’Union européenne dont l’article 8 énonce que les données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Dans un contexte plus large, la notion de « consentement »
permet à la personne concernée de décider elle‑même de la légitimité des restrictions apportées à son droit à la protection des données à caractère personnel ( 19 ).
37. Le principe directeur à la base du droit de l’Union en matière de protection des données est celui d’une décision autodéterminée d’un individu capable de faire des choix quant à l’utilisation et au traitement de ses données ( 20 ). C’est l’exigence du consentement qui lui permet d’opérer ce choix et qui le protège par ailleurs dans des situations par nature asymétriques ( 21 ). Ce n’est que lorsque le consentement est libre, spécifique et informé qu’il satisfait aux exigences de la directive
95/46 et du règlement 2016/679.
38. Il convient, à ce stade, de formuler trois brèves remarques supplémentaires en ce qui concerne la différence qui semble exister dans la formulation de ces dispositions.
39. Premièrement, l’article 4, point 11, du règlement 2016/679, contrairement à l’article 2, sous h), de la directive 95/46, fait référence à une manifestation « univoque ». Je dirais que la raison en est assez simple : l’article 7, sous a), de cette directive portant sur les principes de légitimation du traitement des données, évoqués précédemment, requiert que la personne concernée donne son consentement « indubitablement », tandis que la disposition correspondante du règlement 2016/679 –
article 6, paragraphe 1, sous a) – ne contient pas cette précision. En d’autres termes, cette exigence d’une manifestation univoque a tout simplement été déplacée dans la disposition plus générale du règlement 2016/679.
40. Deuxièmement, l’article 4, point 11, du règlement 2016/679 précise que la personne concernée se manifeste « par une déclaration ou par un acte positif clair ». En effet, cette précision est nouvelle dans ledit règlement et ne se reflète pas sémantiquement dans la directive 95/46.
41. Troisièmement, en ce qui concerne le caractère « informé » du consentement de la personne concernée, la version française de la directive 95/46 diffère de celle du règlement 2016/679. Alors que l’article 2, sous h), de cette directive fait référence à une « manifestation de volonté […] informée », l’article 4, point 11, de ce règlement évoque une « manifestation de volonté […] éclairée ».
42. Je dirais que ce changement de libellé prête plus à confusion qu’il ne nous éclaire, car, pour autant que je puisse en juger, la version française est la seule ou, à tout le moins, l’une des très rares versions linguistiques à opérer cette distinction. Un certain nombre de versions linguistiques, parmi lesquelles, incidemment, les autres langues latines, utilisent tout simplement, à cet égard, les termes qui sont exactement les mêmes ( 22 ), tandis que d’autres versions linguistiques peuvent
légèrement diverger sur ce point, mais restent en deçà de la différence de la version française ( 23 ).
43. Je reviendrai ci‑après sur la notion de consentement « informé ».
Consentement libre
44. L’exigence d’une « manifestation » de volonté de la personne concernée évoque clairement un comportement non pas passif mais actif ( 24 ) et implique que la personne concernée jouisse d’un degré élevé d’autonomie lorsqu’elle choisit ou non de donner son consentement ( 25 ). En ce qui concerne le cas particulier d’une loterie en ligne sur un site Internet, la Cour a jugé qu’un consentement donné au moyen d’une case cochée par défaut n’impliquait pas un comportement actif de la part de
l’utilisateur du site Internet ( 26 ).
45. Je soutiens qu’une telle conclusion est également valable lorsque l’on recourt au raisonnement par analogie : le consentement sous la forme d’une case cochée par défaut ne saurait impliquer un consentement actif de la part de la personne ayant affaire à un document physique qu’elle signe finalement. En effet, dans ce dernier cas de figure, on ne sait pas si ce texte rédigé à l’avance a été lu et assimilé. La situation n’est pas exempte de doutes. Le texte peut ou non avoir été lu. Le « lecteur »
peut avoir omis de le faire par pure négligence, ce qui rend impossible de déterminer clairement si le consentement a été donné librement ( 27 ).
Consentement informé
46. Il ne doit y avoir le moindre doute que la personne concernée a été suffisamment informée ( 28 ).
47. La personne concernée doit être informée de toutes les circonstances entourant le traitement des données et ses conséquences. Elle doit notamment avoir connaissance du type de données à traiter, de la durée et des modalités de ce traitement ainsi que de la finalité spécifique qu’il poursuit. Elle doit également connaître celui qui traite les données et savoir si les données ont pour but d’être communiquées à des tiers. Il est essentiel qu’elle soit informée des conséquences d’un refus de
consentement : le consentement au traitement des données est‑il ou non une condition de la conclusion du contrat ( 29 ) ?
La charge de la preuve
48. Cela nous amène à nous interroger sur la personne à laquelle il incombe de démontrer que la personne concernée était en mesure de donner son consentement sur la base des critères qui viennent d’être établis.
49. L’article 7, paragraphe 1, du règlement 2016/679 est clair et ne laisse aucune place au doute : lorsque le traitement repose sur le consentement, il appartient au responsable du traitement de démontrer que la personne concernée a consenti au traitement de ses données ( 30 ). Cette disposition est l’expression du principe de responsabilité, consacré à l’article 5, paragraphe 2, de ce règlement. Je soutiendrais que la finalité de cette disposition implique une interprétation large en ce sens que
le responsable du traitement doit non seulement prouver que la personne concernée a donné son consentement, mais doit également démontrer que toutes les conditions de validité sont réunies ( 31 ).
50. Certains auteurs remettent en cause le fait que l’article 7, paragraphe 1, du règlement 2016/679 traite de la charge de la preuve, en rappelant la genèse législative de ce règlement ( 32 ). Ils affirment que, si la Commission et le Parlement ont tous deux proposé une formulation faisant explicitement référence à la « charge de la preuve », cette formulation ne se reflète pas dans le texte adopté ni, par conséquent, dans le droit en vigueur.
51. Cette affirmation appelle une analyse plus poussée.
52. En effet, la proposition initiale de la Commission ( 33 ) fait référence à la « charge de la preuve » qui incombe au responsable du traitement. Dans le même ordre d’idées, le Parlement européen n’a pas contesté cette formulation en première lecture ( 34 ). C’est le Conseil de l’Union européenne ( 35 ) qui a remplacé l’expression « charge de la preuve » par les termes « est en mesure de démontrer » en ce qui concerne le responsable du traitement. Le texte final a ensuite été adopté sous cette
forme.
53. Je n’accorderai pas une trop grande importance à ce changement de formulation ( 36 ). Dans aucun considérant de sa position, le Conseil n’a exposé les raisons du changement de libellé proposé ( 37 ). Cela donne à penser que cette institution a simplement cherché à modifier le libellé de la disposition en question, sans en changer le sens. Dans cette optique, les termes « est en mesure de démontrer » décrivent en fait de manière plus accessible ce que l’on entend par « charge de la preuve » ( 38
).
54. Nous pouvons donc présumer avec certitude que l’article 7, paragraphe 1, du règlement 2016/679 fait peser la charge de la preuve du consentement de la personne concernée par le traitement des données à caractère personnel sur le responsable du traitement ( 39 ). Le moindre doute concernant le consentement de la personne concernée doit être éliminé par des preuves à fournir par le responsable du traitement ( 40 ). La charge de prouver que la personne concernée a été en mesure de donner son
consentement libre, spécifique et informé incombe entièrement à l’entité qui effectue le traitement.
55. La situation juridique visée par la directive 95/46 n’est pas différente à cet égard.
56. Même si la directive 95/46 ne contenait pas de disposition distincte comparable à l’article 7 du règlement 2016/679 sur les conditions du consentement, on pouvait y retrouver la plupart des conditions énoncées dans cette disposition. Bien que la règle de la charge de la preuve ne soit pas expressément prévue dans cette directive, elle découle au moins indirectement de sa formulation ( 41 ) selon laquelle « la personne concernée a indubitablement donné son consentement » ( 42 ).
Sur la situation d’Orange România
57. À présent, je souhaiterais appliquer les critères exposés précédemment à la présente affaire.
58. À titre liminaire, je tiens à préciser que la question de savoir si Orange România peut ou non exiger de ses clients qu’ils consentent à la collecte et à la conservation de copies de leurs titres d’identité ne relève pas de la présente affaire étant donné que, pour cette entreprise, il ne s’agit pas d’une condition préalable à la conclusion de contrat. En d’autres termes, la présente affaire ne porte pas sur l’interprétation de l’article 7, sous b), de la directive 95/46 et de l’article 6,
paragraphe 1, sous b), du règlement 2016/679. Cela dit, il me semble légitime qu’une entreprise demande à ses clients de fournir certaines données à caractère personnel et notamment de prouver leur identité aux fins de la conclusion du contrat. Toutefois, exiger d’un client qu’il consente à la collecte et à la conservation de copies de ses titres d’identité semble aller au-delà de ce qui est nécessaire à l’exécution du contrat.
59. Sur la base des informations dont je dispose, il me semble que les clients d’Orange România ne donnent pas leur consentement libre, spécifique et informé dans les circonstances décrites par la juridiction de renvoi.
60. Premièrement, il n’y a pas de consentement librement exprimé. Obliger un client à déclarer par écrit qu’il ne consent pas à la collecte et à la conservation de la copie de sa carte d’identité ne permet pas de donner un consentement libre en ce sens que le client est placé dans une situation dans laquelle il s’écarte manifestement d’une procédure normale qui conduit à la conclusion du contrat. Les clients ne doivent pas, à cet égard, avoir le sentiment que leur refus de consentir à la collecte et
à la conservation de copies de leurs titres d’identité n’est pas conforme aux procédures habituelles. Je tiens à rappeler, sur ce point, que la Cour a mis l’accent sur un comportement actif de la part de la personne concernée en vue de manifester son consentement ( 43 ). Une action positive de la personne concernée est donc requise pour donner son consentement. Or, c’est la situation inverse qui semble se produire dans le présent cas : une action positive est nécessaire pour refuser le
consentement. Pour en revenir une fois de plus à l’arrêt Planet49 ( 44 ), si le fait de décocher une case cochée par défaut sur un site Internet est considéré comme une charge trop lourde pour un client, on ne peut a fortiori raisonnablement attendre de celui‑ci qu’il refuse de donner son consentement sous forme manuscrite.
61. Deuxièmement, il n’y a pas de consentement informé. Il n’est pas clairement indiqué au client que le refus à la collecte et à la conservation de la copie de sa carte d’identité ne rend pas impossible la conclusion du contrat. Le client n’opère pas son choix de manière éclairée s’il n’a pas connaissance des conséquences de son refus.
62. Troisièmement – et seulement à titre hypothétique –, rien n’indique qu’Orange România ait réussi à démontrer que ses clients avaient consenti au traitement de leurs données personnelles. À cet égard, un manque évident de clarté dans les procédures internes ne facilite certainement pas la preuve que le consentement a été donné par le client. Ce manque de clarté et les instructions contradictoires données au personnel de vente ne peuvent évidemment pas se faire au détriment du client, en
l’occurrence la personne concernée.
Conclusion
63. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions posées par le Tribunalul Bucureşti (tribunal de grande instance de Bucarest, Roumanie) :
La personne concernée qui entend entrer dans une relation contractuelle portant sur la fourniture de services de télécommunications avec une entreprise ne donne pas à celle‑ci son « consentement », c’est‑à‑dire qu’elle ne manifeste pas sa volonté « spécifique et informée » et « librement exprimée » au sens de l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces données et de l’article 4, point 11, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dès lors qu’elle doit indiquer, par écrit, dans un contrat par ailleurs standardisé, qu’elle
refuse de consentir à la collecte et à la conservation des copies de ses titres d’identité.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 3 ) L’article 6 est l’unique article de la section I, chapitre II, de la directive 95/46.
( 4 ) L’article 7 est l’unique article de la section II, chapitre II, de la directive 95/46.
( 5 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 6 ) Monitorul Oficial al României, no 790 du 12 décembre 2001.
( 7 ) Auquel cas le bénéficiaire des services paie de manière anticipée le prix des services à fournir.
( 8 ) Auquel cas le client paie le prix des services fournis par la société après la fourniture de ceux‑ci, sur la base des factures émises par la société.
( 9 ) Conformément à l’article 99, paragraphe 2, du règlement 2016/679.
( 10 ) Voir article 94, paragraphe 1, du règlement 2016/679.
( 11 ) En ce qui concerne une approche similaire dans une situation comparable, voir arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, points 38 à 43), et mes conclusions dans cette affaire (C‑673/17, EU:C:2019:246, points 44 à 49). Voir, également, arrêt du 11 décembre 2018, Weiss e.a. (C‑493/17, EU:C:2018:1000, point 39).
( 12 ) Voir arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 33).
( 13 ) Sous réserve, évidemment, des exceptions et des limitations prévues à l’article 13 de la directive 95/46 et à l’article 23 du règlement 2016/679.
( 14 ) Voir arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 57). Voir, également, arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 71 et jurisprudence citée), et du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, point 36).
( 15 ) Voir arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 et C‑469/10, EU:C:2011:777, point 30) ; du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, point 57), et du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 53).
( 16 ) Voir également Bygrave, L. A., Tosoni, L., dans Kuner, Chr., Bygrave, L. A., Docksey, Chr. (éds), The EU General Data Protection Regulation (GDPR), Oxford University Press, Oxford, 2020, article 4, point 11, C.1., p. 181.
( 17 ) De toute évidence, ces critères sont cumulatifs par nature, ce qui signifie qu’il existe un seuil élevé de consentement valable, voir Bygrave, L. A., Tosoni, L., dans Kuner, Chr., Bygrave, L. A., Docksey, Chr. (éds), The EU General Data Protection Regulation (GDPR), Oxford University Press, Oxford, 2020, article 4, point 11, C.1., p. 181.
( 18 ) Voir mes conclusions dans l’affaire Planet49 (C‑673/17, EU:C:2019:246, points 57 et suiv.). Voir aussi Heckmann, D., Paschke, A., dans Ehmann, E., Selmayr, M. (éds), Datenschutz-Grundungsverordnung, Kommentar, Beck, C. H., Munich, 2e éd. 2018, article 7, point 9 : « pierre angulaire de la protection des données ».
( 19 ) Voir, en ce sens, Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, p. 232, qui se réfère au droit à l’autodétermination informationnelle dans ce contexte (tel que développé par la Cour constitutionnelle allemande depuis l’arrêt du 15 décembre 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfG 65,1).
( 20 ) Voir aussi Klement, J. H., dans Simitis, S., Hornung, G., Spieker I., gen. Döhmann (éds), Datenschutzrecht, Nomos, Baden-Baden, 2019, article 7, point 1, qui souligne que, dans un ordre juridique fondé sur la dignité, la liberté et la responsabilité individuelles qu’il cherche à promouvoir, le traitement des données à caractère personnel doit être légitimé par une décision autodéterminée de la personne concernée.
( 21 ) Voir, en outre, considérant 43 du règlement 2016/679, qui fait référence à des situations dans lesquelles il peut y avoir « un déséquilibre manifeste entre la personne concernée et le responsable du traitement ».
( 22 ) Voir, à titre d’exemple, les versions espagnole (« manifestación de voluntad […] informada»), danoise (« informeret viljetilkendegivelse»), maltaise (« infurmata»), portugaise (« manifestação de vontade […] informada»), roumaine (« manifestare de voință […] informată») et suédoise (« informerad viljeyttring»).
( 23 ) Voir, à titre d’exemple, les versions allemande (« Willensbekundung, die […] in Kenntnis der Sachlage erfolgt » dans la directive et « in informierter Weise […] abgegebene Willensbekundung» dans le règlement), néerlandaise (« op informatie berustende wilsuiting» dans la directive et « geïnformeerde wilsuiting » dans le règlement) et polonaise (« świadome […] wskazanie» dans la directive et « świadome […] okazanie woli» dans le règlement).
( 24 ) Voir arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 52).
( 25 ) Voir Bygrave, L. A., Tosoni, L., dans Kuner, Chr., Bygrave, L. A., Docksey, Chr. (éds), The EU General Data Protection Regulation (GDPR), Oxford University Press, Oxford, 2020, article 4, point 11, C.1., p. 182.
( 26 ) Voir arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 52).
( 27 ) Voir, par analogie, mes conclusions dans l’affaire Planet49 (C‑673/17, EU:C:2019:246, point 62). Voir, également, arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 55).
( 28 ) En fin de compte, le consentement informé est ancré dans le principe de transparence, tel que consacré à l’article 5, paragraphe 1, sous a), du règlement 2016/679, voir Bygrave, L. A., Tosoni, L., dans Kuner, Chr., Bygrave, L. A., Docksey, Chr. (éds), The EU General Data Protection Regulation (GDPR), Oxford University Press, Oxford, 2020, article 4, point 11, C.4., p. 184.
( 29 ) Selon certains auteurs, la liste des informations visées aux articles 10 et 11 de la directive 95/46 n’est pas exhaustive, si bien que le responsable du traitement peut également fournir à la personne concernée d’autres informations pertinentes sur les conditions d’utilisation des données à caractère personnel. Voir, notamment, Mednis, A., « Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46 », Monitor Prawniczy (dodatek) 2012, no 7, p. 27.
( 30 ) Selon cette disposition, le responsable du traitement doit répondre et être en mesure de démontrer le respect du fait que les données à caractère personnel sont traitées de manière licite, loyale et transparente à l’égard de la personne concernée.
( 31 ) Voir également, en ce sens, Stemmer, B., dans Brink, St., Wolff, H. A., Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, Munich, 30e éd. (1er novembre 2019), article 7 DSGVO, point 87, et Buchner, J., Kühling, B., dans Buchner, J., Kühling, B. (éds), Datenschutz-Grundverordnung/BDSG, Kommentar, CH Beck, Munich, 2e éd. 2018, article 7 DS-GVO, point 22.
( 32 ) Voir Klement, J. H., dans Simitis, S., Hornung, G., Spieker, I., gen. Döhmann (éds), Datenschutzrecht, Nomos, Baden-Baden, 2019, article 7, point 46.
( 33 ) L’article 7, paragraphe 1, de la proposition initiale de la Commission se lit comme suit : « La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement ». Voir proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général
sur la protection des données) [COM(2012) 11 final, p. 45].
( 34 ) En première lecture, le Parlement n’a pas proposé de modifier le libellé de l’article 7, paragraphe 1, en ce qui concerne l’expression « charge de la preuve ». Il s’est contenté de préciser que l’article 7, paragraphe 1, concernait une situation dans laquelle le traitement reposait sur le consentement. Voir résolution législative du Parlement européen, du 12 mars 2014, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) [COM(2012) 11 final] (JO 2017, C 378, p. 399, à la page 428).
( 35 ) « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». Voir position (UE) no 6/2016 du Conseil en première lecture en vue de l’adoption d’un règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), adoptée par le Conseil le 8 avril 2016 (JO 2016, C 159, p. 1, à la page 36).
( 36 ) Voir en ce sens également Kosta, E., dans Kuner, Chr., Bygrave, L. A., Docksey, Chr. (éds), The EU General Data Protection Regulation (GDPR), Oxford University Press, Oxford, 2020, Article 7, C.2., p. 349‑350.
( 37 ) Voir, notamment, considérants 42 et 43 qui exposent les motifs de l’article 7.
( 38 ) Une explication conceptuelle intéressante de la raison pour laquelle la charge de la preuve incombe au responsable du traitement est présentée par Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, p. 243 à 245, qui établit une analogie avec la situation, en droit national, de la responsabilité des médecins lorsque la charge de la preuve incombe également à ceux qui procèdent à la restriction du droit en question.
( 39 ) C’est d’ailleurs l’opinion largement répandue dans la doctrine juridique, voir Klabunde, A., dans Ehmann, E., Selmayr, M. (éds.), Datenschutz-Grundverordnung, Kommentar, 2e éd., C.H. Beck, Munich, 2018, article 4, point 52 ; Stemmer, B., dans Brink, St., Wolff, H. A., Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, Munich, 30e éd. (1er novembre 2019), article 7 DSGVO, point 87, et Buchner, J., Kühling, B., dans Buchner, J., Kühling, B. (éds.), Datenschutz-Grundverordnung/BDSG,
Kommentar, C.H. Beck, Munich, 2e éd. 2018, article 7 DS-GVO, point 22, et Barta, P., Kawecki, M., dans Litwiński, P. (éd), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Varsovie, 2018, article 7 du règlement, point 1.
( 40 ) Voir également, en ce sens, Heckmann, D., Paschke, A., dans Ehmann, E., Selmayr, M. (éds), Datenschutz-Grundungsverordnung, Kommentar, 2e éd., C.H. Beck, Munich, 2018, article 7, point 72.
( 41 ) Article 7, sous a), de la directive 95/46.
( 42 ) Voir en ce sens, également, parmi beaucoup d’autres, Buchner, J., Kühling, B., dans Buchner, J., Kühling, B. (éds.), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, Munich, 2e éd., 2018, article 7 DS-GVO, points 5 et 22. Mise en italique par mes soins.
( 43 ) Voir arrêt du 1er octobre 2019 (C‑673/17, EU:C:2019:801, point 54).
( 44 ) Voir arrêt du 1er octobre 2019 (C‑673/17, EU:C:2019:801).