Livv
Décisions

CJUE, 2e ch., 11 novembre 2020, n° C-61/19

COUR DE JUSTICE DE L’UNION EUROPEENNE

Arrêt

PARTIES

Demandeur :

Orange România SA

Défendeur :

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

COMPOSITION DE LA JURIDICTION

Président de chambre :

M. Arabadjiev

Juges :

M. von Danwitz (rapporteur) , M. Xuereb

Avocat général :

M. Szpunar

Avocats :

M. Dascălu, M. Iordache, M. Buga

CJUE n° C-61/19

11 novembre 2020

LA COUR (deuxième chambre),

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), ainsi que de l’article 4, point 11, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

2 Cette demande a été introduite dans le cadre d’un litige opposant Orange România SA à l’Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Autorité nationale de surveillance du traitement des données à caractère personnel, Roumanie), au sujet d’un recours tendant à l’annulation d’une décision par laquelle cette dernière a infligé à Orange România une amende pour avoir collecté et conservé des copies de titres d’identité de ses clients sans leur consentement valable et lui a imposé de détruire ces copies.

 Le cadre juridique

 Le droit de l’Union

 La directive 95/46

3 Le considérant 38 de la directive 95/46 énonce que « le traitement loyal des données suppose que les personnes concernées puissent connaître l’existence des traitements et bénéficier, lorsque des données sont collectées auprès d’elles, d’une information effective et complète au regard des circonstances de cette collecte ».

4 L’article 2, sous h), de cette directive prévoit que, aux fins de celle-ci, on entend par :

« “consentement de la personne concernée” : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

5 L’article 6 de ladite directive dispose :

« 1. Les États membres prévoient que les données à caractère personnel doivent être :

a)  traitées loyalement et licitement ; 

[...]

2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »

6 Aux termes de l’article 7, sous a), de la même directive :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)  la personne concernée a indubitablement donné son consentement [...] »

7 L’article 10 de cette directive est ainsi libellé :

« Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci–dessous, sauf si la personne en est déjà informée :

a)  l’identité du responsable du traitement et, le cas échéant, de son représentant ;

b)  les finalités du traitement auquel les données sont destinées ;

c)  toute information supplémentaire telle que :

– les destinataires ou les catégories de destinataires des données,

– le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

– l’existence d’un droit d’accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données. »

 Le règlement 2016/679

8 Les considérants 32 et 42 du règlement 2016/679 énoncent :

« (32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

[...]

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil [du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO 1993, L 95, p. 29)], une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

9 L’article 4, point 11, dudit règlement prévoit :

« “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

10 L’article 5 du même règlement dispose :

« 1. Les données à caractère personnel doivent être :

a)  traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

11 Aux termes de l’article 6, paragraphe 1, sous a), du règlement 2016/679 :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

12 L’article 7, paragraphes 1, 2 et 4, du règlement 2016/679 est ainsi libellé :

« 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2.  Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

[...]

4.  Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. »

13 L’article 13 de ce règlement énonce, à ses paragraphes 1 et 2 :

« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a)  l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

[...]

c)  les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

[...]

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b)  l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;

c)  lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ».

14 L’article 94, paragraphe 1, du règlement 2016/679 prévoit :

« La directive 95/46/CE est abrogée avec effet au 25 mai 2018. »

15 En vertu de l’article 99, paragraphe 2, du règlement 2016/679, ce dernier est applicable à partir du 25 mai 2018.

 Le droit roumain

16 La legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (loi no 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) (Monitorul Oficial al României, partie I, no 790 du 12 décembre 2001) vise à transposer les dispositions de la directive 95/46 en droit national.

17 L’article 5, paragraphe 1, de cette loi dispose :

« 1) Tout traitement de données à caractère personnel, sauf s’il vise des données appartenant aux catégories mentionnées à l’article 7, paragraphe 1, et aux articles 8 et 10, peut être effectué uniquement si la personne concernée a expressément et indubitablement donné son consentement à ce traitement.

[...] »

18 Aux termes de l’article 8 de ladite loi :

« 1) Le traitement du numéro d’identification personnel ou d’autres données à caractère personnel ayant une fonction d’identification à portée générale ne peut être effectué que si :

a)  la personne concernée a expressément donné son consentement ; ou

b)  le traitement est expressément prévu par une disposition légale.

2) L’autorité de contrôle peut également déterminer d’autres cas dans lesquels il est possible d’effectuer le traitement des données visées au paragraphe 1, à condition d’établir des garanties adéquates pour assurer le respect des droits des personnes concernées. »

19 L’article 32 de la loi 677/2001 est ainsi libellé :

« Le traitement de données à caractère personnel effectué par un responsable de traitement ou par une personne habilitée par ce dernier en violation des articles 4 à 10 ou en méconnaissance des droits prévus aux articles 12 à 15 ou à l’article 17, constitue une infraction administrative, si elle n’est pas commise dans des conditions constitutives d’une infraction pénale, et est punie d’une amende de [1 000] RON à [25 000] RON. »

 Le litige au principal et les questions préjudicielles

20 Orange România fournit des services de télécommunications mobiles sur le marché roumain.

21 Par décision du 28 mars 2018, l’ANSPDCP a infligé à Orange România une amende pour avoir conservé des copies de titres d’identité de ses clients sans avoir démontré que ces clients avaient donné leur consentement valable, tout en lui imposant de détruire ces copies.

22 Dans cette décision, l’ANSPDCP a relevé que, pendant la période allant du 1er au 26 mars 2018, Orange România avait conclu par écrit des contrats de fourniture de services de télécommunication mobile avec des personnes physiques et que les copies des titres d’identité de ces personnes étaient annexées à ces contrats. Selon l’ANSPDCP, elle n’a pas apporté la preuve que ses clients, aux contrats desquels des copies de leur titre d’identité étaient annexées, avaient donné leur consentement valable concernant la collecte et la conservation de copies de leurs titres d’identité.

23 Les clauses pertinentes des contrats en question étaient rédigées de la manière suivante :

« – Le client déclare ce qui suit :

(i) il a été informé avant la conclusion du contrat du plan tarifaire choisi, des tarifs applicables, de la durée minimale du contrat, des conditions dans lesquelles celui-ci prend fin, des conditions d’accès aux services et d’utilisation de ceux-ci, y compris en ce qui concerne les zones de couverture des services, [...] ;

(ii) Orange România a mis à la disposition du client toutes les informations nécessaires pour qu’il puisse exprimer un consentement non vicié, exprès, libre et spécifique en ce qui concerne la conclusion du contrat et l’engagement exprès afférent à celui-ci, y compris l’ensemble de la documentation contractuelle – les conditions générales pour l’utilisation des services d’Orange et la brochure sur les tarifs et services ;

(iii) il a été informé et a donné son consentement en ce qui concerne :

– le traitement des données à caractère personnel aux fins prévues à l’article 1.15 des conditions générales pour l’utilisation des services d’Orange ;

– la conservation de copies des actes contenant des données à caractère personnel à des fins d’identification ;

– l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) à des fins de marketing direct ;

– l’accord pour le traitement de données à caractère personnel (numéro de contact, courrier électronique) aux fins de la réalisation d’études de marché ;

– après lecture, je donne mon accord exprès à la conservation de copies des actes contenant des données à caractère personnel sur l’état de santé ;

– ne pas inclure les données mentionnées à l’article 1.15, paragraphe 10, des conditions générales pour l’utilisation des services d’Orange dans les services d’information sur les abonnés et les annuaires. »

24 Orange România a introduit un recours contre la décision du 28 mars 2018 devant le Tribunalul Bucureşti (tribunal de grande instance de Bucarest, Roumanie).

25 Selon les constatations de la juridiction de renvoi, il existe, d’une part, des contrats dans lesquels une croix a été insérée dans la case concernant la clause portant sur la conservation de copies des actes contenant des données à caractère personnel à des fins d’identification et, d’autre part, des contrats dans lesquels une telle croix fait défaut. Cette juridiction précise que, nonobstant les indications figurant dans ses conditions générales de vente, Orange România n’a pas refusé de conclure des contrats d’abonnement avec des clients refusant de consentir à la conservation de la copie d’un de leurs titres d’identité. Ladite juridiction relève encore que les « procédures internes » de vente d’Orange România prévoyaient que ce refus devait être documenté dans un formulaire spécifique, à signer par ces clients avant la conclusion du contrat.

26 La juridiction de renvoi s’interroge sur le point de savoir si, dans ces circonstances, les clients concernés peuvent être considérés comme ayant valablement consenti à la collecte de leur titre d’identité et à ce que des copies de celui-ci soient annexées aux contrats. En outre, elle se demande si la signature d’un contrat, dans lequel figure la clause portant sur la conservation de copies des actes contenant des données à caractère personnel à des fins d’identification, permet de prouver l’existence d’un tel consentement.

27 Dans ces conditions, le Tribunalul Bucureşti (tribunal de grande instance de Bucarest) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Au sens de l’article [2], sous h), de la directive 95/46, quelles sont les conditions qui doivent être remplies pour que l’on puisse considérer qu’une manifestation de volonté est spécifique et informée ?

2) Au sens de l’article 2, sous h), de la directive 95/46, quelles sont les conditions qui doivent être remplies pour que l’on puisse considérer qu’une manifestation de volonté est librement exprimée ? »

 Sur les questions préjudicielles

28 À titre liminaire, il convient de déterminer l’applicabilité de la directive 95/46 et du règlement 2016/679 aux faits en cause au principal.

29 Avec effet au 25 mai 2018, la directive 95/46 a été abrogée et remplacée par le règlement 2016/679, en vertu de l’article 94, paragraphe 1, et de l’article 99, paragraphe 2, de ce règlement.

30 Partant, la décision de l’ANSPDCP en cause au principal ayant été adoptée le 28 mars 2018 et, dès lors, antérieurement au 25 mai 2018, la juridiction de renvoi estime à bon droit que la directive 95/46 s’applique ratione temporis au litige au principal.

31 Cela étant, il ressort également du dossier soumis à la Cour que, par sa décision, l’ANSPDCP a non seulement infligé une amende à Orange România, mais lui a également imposé de détruire les copies des titres d’identité en cause, et que le litige au principal porte également sur cette dernière injonction. Or, aucun élément de ce dossier n’indiquant qu’il aurait été donné suite à ladite injonction avant le 25 mai 2018, il n’est pas exclu que, en l’occurrence, le règlement 2016/679 soit applicable ratione temporis en ce qui la concerne (voir, en ce sens, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 41).

32 Dans ces conditions, afin de permettre à la Cour de fournir des réponses utiles aux questions posées par la juridiction de renvoi, il y a lieu de répondre à ces questions sur le fondement tant de la directive 95/46 que du règlement 2016/679 (voir, par analogie, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 43).

33 Par ses deux questions préjudicielles, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 2, sous h), et l’article 7, sous a), de la directive 95/46 ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679 doivent être interprétés en ce sens qu’un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification, peut être de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation.

34 À cet égard, il convient de rappeler que l’article 7 de la directive 95/46 et l’article 6 du règlement 2016/679 prévoient une liste exhaustive des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite (voir, en ce qui concerne l’article 7 de la directive 95/46, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 57 et jurisprudence citée, ainsi que du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 53). En particulier, l’article 7, sous a), de cette directive et l’article 6, paragraphe 1, sous a), dudit règlement prévoient que le consentement de la personne concernée peut rendre un tel traitement licite.

35 En ce qui concerne les exigences auxquelles est soumis un tel consentement, l’article 7, sous a), de ladite directive dispose que la personne concernée doit avoir « indubitablement donné son consentement », tandis que l’article 2, sous h), de la directive 95/46 définit le terme « consentement » comme visant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Dans la mesure où ces dispositions prévoient que la personne concernée procède à une « manifestation de volonté » afin de donner « indubitablement » son consentement, seul un comportement actif de la part de cette personne en vue de manifester son consentement peut entrer en ligne de compte (voir, en ce sens, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, points 52 et 54).

36 Cette même exigence s’applique également dans le cadre du règlement 2016/679. En effet, le libellé de l’article 4, point 11, de ce règlement, qui définit le « consentement de la personne concernée » aux fins, notamment, de l’article 6, paragraphe 1, sous a), de celui-ci, apparaît encore plus strict que celui de l’article 2, sous h), de la directive 95/46, en ce qu’il requiert une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« un acte positif clair » marquant son acceptation du traitement des données à caractère personnel la concernant. Ainsi, un consentement actif est désormais expressément prévu par le règlement 2016/679 (voir, en ce sens, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, points 61 à 63).

37 À cet égard, si le considérant 32 de ce règlement précise que l’expression du consentement pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en revanche, il exclut expressément qu’il y ait un consentement « en cas de silence, de cases cochées par défaut ou d’inactivité ». Ainsi que la Cour l’a déjà jugé, dans une telle hypothèse, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case préalablement cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite (voir, en ce sens, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, points 55 et 57).

38 En outre, l’article 2, sous h), de la directive 95/46 et l’article 4, point 11, du règlement 2016/679 exigent une manifestation de volonté « spécifique », en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct (voir, en ce qui concerne l’article 2, sous h), de la directive 95/46, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 58).

39 À cet égard, l’article 7, paragraphe 2, première phrase, de ce règlement précise que, lorsque le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions. En particulier, il ressort de cette dernière disposition, lue en combinaison avec le considérant 42 dudit règlement, qu’une telle déclaration doit être présentée sous une forme compréhensible et aisément accessible et être formulée en des termes clairs et simples, notamment lorsqu’il s’agit d’une déclaration de consentement à rédiger préalablement par le responsable du traitement des données à caractère personnel.

40 S’agissant de l’exigence résultant de l’article 2, sous h), de la directive 95/46 et de l’article 4, point 11, du règlement 2016/679 selon laquelle le consentement doit respectivement être « informé » ou « éclairé », cette exigence implique, conformément à l’article 10 de cette directive, lu à la lumière du considérant 38 de celle-ci, ainsi qu’à l’article 13 de ce règlement, lu à la lumière de son considérant 42, que le responsable de traitement fournisse à la personne concernée une information au regard de toutes les circonstances entourant le traitement des données, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, cette personne devant notamment connaître le type de données à traiter, l’identité du responsable du traitement, la durée et les modalités de ce traitement ainsi que les finalités que celui-ci poursuit. Une telle information doit permettre à ladite personne de déterminer facilement les conséquences du consentement qu’elle pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause (voir, par analogie, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 74).

41 En outre, ainsi que la Commission l’a relevé dans ses observations soumises à la Cour, il ressort de l’article 10, sous c), deuxième tiret, de la directive 95/46 ainsi que de l’article 13, paragraphe 2, sous b) et sous c), du règlement 2016/679, lu à la lumière du considérant 42 de celui-ci que, pour assurer à la personne concernée une véritable liberté de choix, les stipulations contractuelles ne doivent pas induire la personne concernée en erreur quant à la possibilité de conclure le contrat même si elle refuse de consentir au traitement de ses données. En l’absence d’informations de cette nature, le consentement de cette personne au traitement de ses données à caractère personnel ne saurait être considéré comme ayant été donné librement ni, par ailleurs, comme ayant été donné de manière informée et éclairée. 

42 Il convient d’ajouter que, en vertu de l’article 6, paragraphe 1, sous a), et paragraphe 2, de la directive 95/46 ainsi que de l’article 5, paragraphe 1, sous a), du règlement 2016/679, le responsable du traitement des données à caractère personnel est tenu d’assurer notamment la licéité du traitement de ces données et, comme le précise le paragraphe 2 de cet article 5, doit être en mesure de démontrer cette licéité. S’agissant, plus particulièrement, d’un éventuel consentement de la personne concernée, l’article 7, sous a), de cette directive prévoit que la personne concernée doit avoir « indubitablement » donné son consentement, ce qui implique, ainsi que M. l’avocat général l’a exposé, au point 56 de ses conclusions, que la charge de la preuve relative à l’existence d’un consentement valable incombe au responsable du traitement. L’article 7, paragraphe 1, dudit règlement prévoit désormais que, dans le cas où le traitement repose sur le consentement, ce responsable doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

43 En l’occurrence, Orange România a fait valoir, dans ses observations soumises à la Cour, que, lors de la procédure de conclusion des contrats en cause au principal, ses agents de vente informeraient les clients concernés, préalablement à la conclusion des contrats, notamment sur les finalités de la collecte et de la conservation des copies des titres d’identité ainsi que sur le choix dont les clients disposeraient quant à cette collecte et cette conservation, avant d’obtenir oralement le consentement de ces clients à cette collecte et à cette conservation. Selon Orange România, la case relative à la conservation des copies de titres d’identité était ainsi cochée uniquement sur la base de l’accord librement exprimé en ce sens par les intéressés lors de la conclusion du contrat.

44 Dans ces conditions, la demande de décision préjudicielle vise essentiellement à clarifier si le consentement ainsi invoqué à un tel traitement des données à caractère personnel peut être établi sur le fondement des clauses contractuelles contenues dans ces contrats.

45 À cet égard, il ressort des indications figurant dans cette demande que, si lesdits contrats contiennent une clause selon laquelle les clients concernés ont été informés et ont donné leur consentement à la conservation d’une copie de leur titre d’identité à des fins d’identification, la case relative à cette clause avait déjà été cochée par les agents de vente d’Orange România avant que ces clients ne procèdent à la signature portant acceptation de toutes les clauses contractuelles, à savoir tant de ladite clause que d’autres clauses non liées à la protection des données. Il est encore indiqué, dans ladite demande que, sans que les contrats en cause au principal le précisent, Orange România acceptait de conclure ces contrats avec des clients qui refusaient de donner leur consentement à la conservation d’une copie de leur titre d’identité, tout en exigeant que, dans ce cas, ces clients signent un formulaire spécifique faisant état de leur refus.

46 Or, dès lors que, selon ces indications, les clients concernés ne paraissent pas avoir eux-mêmes coché la case relative à ladite clause, le seul fait que cette case a été cochée n’est pas de nature à établir une manifestation positive du consentement de ces clients à ce qu’une copie de leur carte d’identité soit collectée et conservée. En effet, ainsi que M. l’avocat général l’a relevé, au point 45 de ses conclusions, la circonstance selon laquelle lesdits clients ont signé les contrats contenant la case cochée ne permet pas, à elle seule, d’établir un tel consentement, en l’absence d’indications confirmant que cette clause a effectivement été lue et assimilée. Il appartient à la juridiction de renvoi d’effectuer les vérifications nécessaires à cette fin.

47 Par ailleurs, dans la mesure où la clause cochée relative au traitement de ces données n’apparaît pas avoir été présentée sous une forme qui la distingue clairement des autres clauses contractuelles, il lui appartient d’apprécier si, compte tenu des considérations figurant au point 34 du présent arrêt, la signature de ces contrats se rapportant à une pluralité de clauses contractuelles peut être considérée comme manifestant un consentement spécifique à la collecte et à la conservation des données à caractère personnel, au sens de l’article 2, sous h), de la directive 95/46 et de l’article 4, point 11, du règlement 2016/679.

48 De surcroît, la clause contractuelle en cause au principal se bornant à indiquer, sans aucune autre mention, la finalité de l’identification de la conservation des copies des cartes d’identité, il incombe à la juridiction de renvoi de vérifier si l’information des personnes concernées satisfait aux exigences de l’article 10 de la directive 95/46 et de l’article 13 du règlement 2016/679, qui énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant pour assurer à son égard un traitement loyal des données.

49 Il appartient également à cette juridiction d’évaluer, notamment, si les stipulations contractuelles en cause au principal étaient susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat nonobstant le refus de consentir au traitement de ses données, en l’absence de précisions sur ce point, mettant ainsi en cause le caractère éclairé et informé du consentement exprimé par ladite signature.

50 Par ailleurs, ainsi que M. l’avocat général l’a relevé, au point 60 de ses conclusions, le caractère libre de ce consentement apparaît mis en cause par la circonstance que, dans l’hypothèse d’un refus de celui-ci, Orange România exigeait, en s’écartant de la procédure normale qui conduit à la conclusion du contrat, que le client concerné déclare par écrit qu’il ne consentait ni à la collecte ni à la conservation de la copie de son titre d’identité. En effet, ainsi que la Commission l’a observé lors de l’audience, une telle exigence supplémentaire est de nature à affecter indûment le libre choix de s’opposer à cette collecte et à cette conservation, ce qu’il incombe également à la juridiction de renvoi de vérifier.

51 En tout état de cause, ainsi qu’il résulte des considérations figurant aux points 35, 36 et 42 du présent arrêt, il appartient à Orange România, en tant que responsable du traitement des données, d’établir que ses clients ont, par un comportement actif, manifesté leur consentement au traitement de leurs données à caractère personnel, de telle sorte que cette société ne saurait exiger qu’ils manifestent leur refus activement.

52 Eu égard aux considérations qui précèdent, il convient de répondre aux questions posées que l’article 2, sous h), et l’article 7, sous a), de la directive 95/46 ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679 doivent être interprétés en ce sens qu’il appartient au responsable du traitement des données de démontrer que la personne concernée a, par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel et qu’elle a obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, lui permettant de déterminer facilement les conséquences de ce consentement, de sorte qu’il soit garanti que celui-ci soit donné en pleine connaissance de cause. Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque

– la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque

– les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque

– le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.

 Sur les dépens

53 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

 

Par ces motifs, la Cour (deuxième chambre) dit pour droit :

L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens qu’il appartient au responsable du traitement des données de démontrer que la personne concernée a, par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel et qu’elle a obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, lui permettant de déterminer facilement les conséquences de ce consentement, de sorte qu’il soit garanti que celui-ci soit donné en pleine connaissance de cause. Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque

– la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque

– les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque

– le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.