Jurisprudence

Consentement, contrat et RGPD

11 décembre 2025 /

Du consentement dans la loi sur la protection des données personnelles

Avant l’arrivée du consentement pour définir le viol dans le code pénal, le RGPD pouvait sembler en avance sur son temps. Son article 4 (définition) et son article 7 (consentement) sont en effet riches et éclairants. Citons-en quelques extraits :

« [Le consentement] est une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » « La personne concernée a le droit de retirer son consentement à tout moment. » « Il est aussi simple de retirer que de donner son consentement. » « Aucune partie de cette déclaration [de consentement] (…) n’est contraignante. »

L’usage consentement apparaît deux fois de manière opérationnelle dans le RGPD : dans son article 6(1)(a) et dans son article 9(2)(a). Le premier parle de licéité du traitement (un traitement ne peut être licite que s’il repose sur une de ces 6 fondements), et le second interdit l’usage de données dites sensibles sauf si une des 10 exceptions proposées est applicable (l’une d’elles est le consentement).

De l’application du consentement dans un contrat

Un cas d’espèce a attiré il y a plusieurs années (2021) notre attention : les contrats d’assurance bancaire. En effet pour souscrire une assurance bancaire le contrat peut indiquer (et le fait souvent) qu’il faut consentir au traitement de ses données de santé pour avoir droit à une prise en charge de ses remboursements d’emprunt, le cas échéant. Alors, et au regard des phrases citées précédemment, il nous a semblé tomber sous le sens que :

  1. un traitement de données à caractère personnel basé sur un contrat (RGPD 6(1)(b)) qui impliquerait des donnée de santé devait alors lever une exception à l’interdiction de traitement sur la base de l’article 9(2).
  2. la seule exception résiduelle dans le cadre d’un contrat réalisé avec une organisation privée non liée au droit du travail serait alors le consentement explicite (RGPD article 9(2)(a)) (et encore à condition que le droit de l’État membre ne l’interdise pas, mais ici ce n’est pas la question).
  3. si une demande de prise en charge par son assurance bancaire dépendait d’un traitement de données de santé (comme par exemple pour pouvoir démontrer une incapacité de travail), celui-ci était subordonné à la levée de l’interdiction de l’article 9, et en particulier au fait que la personne concernée donne son consentement à ce traitement.

Fort de cette analyse 0D a accompagné une demande en ce sens. Tout d’abord auprès de l’assurance, qui a refusé toute prise en charge sans obtenir les données de santé relatives à la situation de la personne concernée. Ensuite, auprès du DPO de cette assurance, qui a répondu au jour près dans le temps qui lui était exigé (RGPD article 12(3)), justifiant par la nécessité du traitement de ces données pour pouvoir exécuter sa part du contrat. Enfin, via une plainte à la CNIL dans les mois qui ont suivi ces échanges.

L’avis de la CNIL

En substance, la plainte à la CNIL visait à éclaircir l’application du consentement dans ce cas d’espèce. En effet si, tel que le prévoit la loi, le consentement est libre et peut être retiré à tout moment sans contrainte, pourquoi ici la conséquence d’un retrait de consentement emmènerait à la non-exécution d’un contrat d’assurance emprunteur ?

La réponse a mis 4 ans à arriver. La CNIL a justifié ces délais par « La Commission est
saisie de toujours plus de plaintes et cela a des conséquences sur leurs délais de traitement. » Comprendre : « La CNIL est sous-dotée en effectifs, ce qui ne nous permet pas de réaliser le service public de contrôle qui nous incombe. » En tant que contribuables et attachés à l’État de droit (sans nous faire trop d’illusions non plus), nous apprécions la situation.

Sa réponse nous a à la fois heurtée et interpellée. Voici ce qu’elle dit en substance :

  1. La licéité du traitement des données de santé de la personne concernée est fondée sur le contrat, RGPD article 6(1)(b) (et non sur le consentement, ce que nous concédons depuis le départ) ;
  2. Les données de la personne concernée étant des données de santé, l’interdiction de traitement spécifiée au RGPD article 9 s’applique bien ;
  3. L’exception à l’interdiction de traitement spécifiée au RGPD article 9(2)(a) [le consentement explicite] s’applique pour ce contrat, ne relevant pas du champ de la protection sociale ;
  4. Comme le contrat prévoit une clause de consentement, celui-ci peut être considéré comme ayant été donné librement, au regard du RGPD article 7(4).

La plainte à la CNIL est donc close, sans possibilité d’exposer notre désaccord. La personne concernée dispose d’un mois à date de clôture pour constituer un recours auprès du Conseil d’État.

Dont acte.

Notre interprétation

L’article 7(3) du RGPD, qui stipule qu’une personne concernée peut retirer son consentement à tout moment, ne fonctionne pas pour tous les cas d’espèces. Drôle de conception du consentement.

Allons donc creuser cette notion en droit.

Puisque le contrat subordonne son exécution à l’obtention de données qui demandent le consentement pour être traitées, le droit considère alors qu’il n’est pas possible de disjoindre l’exécution du contrat à l’obtention du consentement. Ainsi, en théorie il est possible de retirer son consentement, acte qui n’est alors pas restreint. C’est juste qu’en pratique, l’exécution du contrat est alors caduque.

Si jamais l’exécution du contrat ne nécessitait pas réellement le traitement des données soumises au consentement, alors on pourrait considérer qu’exiger ce consentement serait coercitif (= contraignant). Mais pour les contrats nécessitant le traitement de ce type de données, alors on considère qu’il n’y a pas de coercition (= contrainte). Par contre attention : la non-coercition ne se juge pas au niveau du contrat en lui-même, mais par rapport à la nature de la prestation prévue au contrat : il faut que pour que la prestation soit exécutée, celle-ci nécessite réellement de traiter données pour lesquelles le consentement est requis.

En bref, sur le consentement

Si vous acceptez au traitement de vos données à caractère personnel sur la base d’un contrat (RGPD 6(1)(b)) et que vous consentez explicitement dans le contrat au traitement de certaines d’entre-elles dites sensibles et nécessitant donc une exception à leur interdiction de traitement (RGPD 9(2)(a)), vous ne pourrez plus bénéficier de votre contrat dès lors que vous retirerez votre consentement à leur traitement.

Une fois n’est pas coutume : en première lecture nos droits semblent robustes… Mais quand on s’expose à la réalité, il y a toujours un souterrain, une circonvolution ou un envol du droit pour nous ramener au sol. C’est moins flagrant mais nous ne pouvons nous empêcher de penser à une référence à l’affaire du Health Data Hub (Plateforme des Données de Santé)…

Donc considérons un contrat avec un client prévoyant l’exécution d’une relation consentie (ici un contrat d’assurance). Durant la majeure partie du temps, vous êtes la seule partie qui donne de sa personne (ici vous payez la redevance). Si vous retirez votre consentement juste avant que l’autre partie ne soit sollicitée (ex: pour prendre en charge les remboursements de votre emprunt), le contrat est immédiatement caduque. Et ce sans retour sur ce que vous avez donné dans votre exécution du contrat jusque là…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *