La licéité d’une collecte et d’un traitement de données personnelles est conditionnée par l'obtention d’un consentement préalable. 

L'exigence d'un consentement préalable répond au principe général d’autodétermination informationnelle qui repose sur l’idée que l’individu doit pouvoir maîtriser ses données, c’est-à-dire décider et contrôler les usages qui en sont faits – Article 1er, al. 2 de la Loi informatique et libertés.  

L’existence d’un consentement n’exonère pas le responsable de traitement du respect des autres principes, en particulier celui de finalité et de proportionnalité de la collecte et du traitement.

Le consentement doit répondre à plusieurs conditions, il doit être : 

• libre : la personne concernée doit pouvoir refuser ou retirer son consentement sans que cela ne puisse engendrer un quelconque préjudice à son encontre ;
• spécifique : le consentement doit être donné distinctement pour chaque finalité. Un consentement général pour plusieurs finalités est interdit ;
• éclairé : l'information doit être claire, accessible et compréhensible, incluant l'identité du responsable, les finalités du traitement, les catégories de données traitées et la durée de conservation ;
• univoque : toute ambiguïté est interdite. Les cases pré-cochées, le silence ou l'inaction ne peuvent être interprétés comme un consentement valide. Le consentement peut être manifesté par le fait de cocher une case, mais il ne peut résulter d’un choix par défaut. – Considérant 32 du Règlement général sur la protection des données.

Le responsable du traitement doit être en mesure de prouver que le consentement a été donné valablement – Article 7, 1° du Règlement général sur la protection des données.

La charge de la preuve incombe au responsable du traitement, même lorsque la personne concernée a retiré son consentement entre temps. 

Le consentement peut être retiré à tout moment, et ce retrait doit être aussi simple que son octroi. – Article 7, 3° du Règlement général sur la protection des données.

Si le consentement est la seule base juridique du traitement, les opérations futures seront illicites et le droit à l’effacement des données s’ouvre, sauf exception prévue par la loi – Article 17, 3° du Règlement général sur la protection des données.

Lorsque les données personnelles sont des données génétiques collectées et traitées à des fins de recherche, la loi exige que le consentement éclairé et exprès des personnes concernées soit obtenu préalablement à la mise en œuvre du traitement des données. – Article 75 de la Loi informatique et libertés. 

Ce principe est déjà énoncé par l’article 16-10 du Code civil et par l’article L. 1131-1 du Code de la santé publique.

Il existe des exceptions au principe de l’obtention d’un consentement éclairé et exprès de la personne concernée préalablement à la mise en œuvre d’un traitement de données génétiques : 

• lorsque l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifique peut être réalisé à partir d’éléments du corps de cette personne prélevés à d’autres fins lorsque cette personne, dûment informée du programme de recherche, n’a pas exprimée son opposition ;
• en cas de découverte de caractéristiques génétiques pouvant être responsables d’une affection justifiant des mesures de prévention ou de soins au bénéfice de la personne ou de membres de sa famille potentiellement concernés, la personne en est informée, sauf si elle s’y est préalablement opposée.

Cependant, certaines conditions doivent cependant être réunies : 

1° les personnes doivent avoir été informées d'un nouveau traitement ; 

2° elles ne doivent pas avoir formulé d’opposition (avec des modalités particulières lorsque la personne est mineure, majeure mais hors d’état d’exprimer son opposition, ou a disparu) ; 

3° la levée de l’anonymat doit être impossible.

– Article L. 1130-5 du Code de la santé publique

Lorsque les données à caractère personnel sont des données publiques qui ont été diffusées, elles doivent être anonymisées – Articles L. 312-1 à L. 312-1-2 du Code des relations entre le public et l’administration.

L’anonymisation des données personnelles constitue un traitement au sens de la loi. Par conséquent, l’utilisateur qui anonymise les données est considéré comme un responsable de traitement, il reste soumis aux obligations qui résultent de l’application de la loi informatique et libertés et du Règlement général sur la protection des données. 

Lorsque les données anonymisées sont diffusées, leur réutilisation ne nécessite pas de recueillir le consentement des personnes concernées ou de s’appuyer sur une disposition législative ou réglementaire.

Le consentement au sens du RGPD ne doit pas être confondu avec l’accord à la participation du projet de recherche. 

Il est donc nécessaire d’utiliser dans le formulaire deux cases distinctes, l’une pour recueillir le consentement RGPD, l’autre pour participer à la recherche. – CNIL, Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?, 31 janvier 2022.

Ensuite, dans le contexte de la recherche scientifique, comme dans n’importe quel autre domaine, le périmètre du traitement des données personnelles collectées doit être circonscrit. Cependant, il n’est pas toujours possible de cerner entièrement, au moment de la collecte, la finalité du traitement des données. 

Le consentement devrait pouvoir être donné quoi qu’il en soit « en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet ». – Considérant 33 du Règlement général sur la protection des données. V. également, G29, Lignes directrices relatives au consentement, 16 avril 2018, 7.2 (recherche scientifique).