RGPD : quelle base légale choisir pour un traitement de données personnelles ?
L’article 6 du RGPD liste 6 bases légales.
Ces bases légales sont les fondements juridiques sur lesquels un responsable de traitement peut s’appuyer pour justifier la collecte et le traitement de données personnelles. Si plusieurs bases légales peuvent s’appliquer, une seule doit être choisie.
Il est primordial d’être en mesure de déterminer la base légale car cette information doit obligatoirement être fournie aux personnes concernées.
Quelles sont les bases légales ?
Comment choisir la base légale adaptée au traitement que vous comptez faire des données ?
1- Base légale RGPD : le consentement
Article 6 a) du RGPD : «La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
Le consentement correspond à l'accord de la personne concernée à la collecte et à l’utilisation de ses données. Pour être valable cet accord doit être libre, spécifique, éclairé et univoque.
Le recueil du consentement a pour objectif d’assurer aux personnes concernées un contrôle sur leurs données. Ainsi, le responsable de traitement doit leur permettre de :
• Comprendre comment seront utilisées leurs données (quelles finalités) ;
• Faire un choix non contraint entre l’acceptation ou le refus de ce traitement ;
• Changer d’avis librement.
Une fois le consentement recueilli auprès des personnes, les responsables de traitement sont autorisés à collecter et utiliser les données dans la limite des finalités indiquées.
Exemple : Le consentement est la base légale de nombreux traitements de données à caractère personnel. Il est notamment automatique pour les traitements à visée commerciale et publicitaire, comme :
• la prospection commerciale;
• la réalisation d’enquêtes et de questionnaires ;
• le recueil des données de navigation via les cookies sur le web ;
• etc...
Pour que la collecte des données soit valide, le responsable du traitement doit être en mesure de démontrer, à tout moment, que la personne a bien consenti à celle-ci.
2- Base légale RGPD : le contrat
Article 6 b) du RGPD : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».
Un traitement de données personnelles peut être justifié par l’exécution d’un contrat à condition que ce traitement soit objectivement nécessaire à l’exécution de ce contrat. Une simple mention du traitement de données dans le contrat ou les CGU (conditions générales de vente) ne suffit pas à justifier de sa nécessité.
L’exécution d’un contrat peut constituer la base légale d’un traitement si :
1. Il existe une relation contractuelle ou précontractuelle entre l’organisme et la personne concernée : c’est-à-dire lorsque les parties sont engagées dans une relation contractuelle ou qu’il existe une simple éventualité qu’un contrat soit conclu ;
2. le contrat est valide au regard du droit applicable ;
3. le traitement satisfait à la condition de nécessité : la condition de nécessité dépend de l’objectif du contrat et des attentes mutuelles des parties concernant cet objectif.
Exemple : Une personne souhaite commander un repas sur une plateforme de livraison en ligne. Avant même de commander, celle-ci indique son code postal pour savoir si la livraison est possible dans sa zone. Il s’agit d’une relation pré-contractuelle. En effet, la personne indique une donnée personnelle dans l’éventualité de passer une commande. Dans ce cas, la base légale du recueil du code postal est le contrat. Le mécanisme est différent de la prospection commerciale sans démarche de la part du client, qui elle, nécessite son consentement.
Exemple : Au titre du contrat de travail, les employeurs doivent rémunérer leurs salariés. Or, pour l’établissement de la paie, un certain nombre de données personnelles doivent être collectées et traitées. Le consentement des salariés n’est pas nécessaire car la base légale de ces traitements est l’exécution du contrat..
3- Base légale RGPD : l’obligation légale
Article 6 c) du RGPD : « le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ».
Le recours à cette base légale se justifie lorsque le traitement est rendu obligatoire par un texte juridique européen ou national.
L’obligation légale peut constituer une base légale d’un traitement aux conditions suivantes :
1. Le traitement satisfait à la condition de nécessité : le traitement de données personnelles doit permettre de répondre à une obligation légale sans avoir d’autre finalité ;
2. L’obligation légale doit découler du droit européen ou du droit national d’un État membre de l’Union européenne auquel le responsable du traitement est soumis ;
3. Ces dispositions légales doivent prévoir une obligation impérative de traiter des données personnelles, suffisamment claire et précise ;
4. Ces dispositions doivent définir les finalités du traitement concerné ;
5. L’obligation inscrite dans le texte légal doit s’imposer au responsable du traitement, et non aux personnes concernées par le traitement.
Exemple : Un employeur doit faire la paie d’un salarié et transmettre certaines données à l’administration fiscale (pour le prélèvement à la source) et aux organismes sociaux via la déclaration social nominative (DSN). Pour répondre à cette obligation légale, l’employeur collecte, traite et transmet un certain nombre de données personnelles.
Exemple : Un organisme de formation doit collecter le nom et le prénom des participants afin de pouvoir organiser une évaluation de la formation suivie. Il s’agit d’une obligation imposée par le code de l’éducation aux centres de formation professionnel.
Il est important de savoir si le traitement est bien fondé sur l’obligation légale. En effet, cela a des implications sur les droits des personnes concernées. Dans ce cas, les personnes ne peuvent pas s’opposer au traitement de leurs données. Elles ne disposent pas de droit d’opposition lorsque le traitement est fondé sur une obligation légale.
4- Base légale RGPD : sauvegarde des intérêts vitaux d’une personne
Article 6 d) du RGPD : « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ».
Le traitement des données collectées est justifié s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers.
L’expression « intérêt vital » signifie :
• qu’il est question de vie ou de mort ;
• d’une menace comportant un risque de blessure ;
• d’une autre atteinte à la santé de la personne concernée ou d’un tiers.
Le recours à cette base légale est marginale. En effet, le traitement de données à caractère personnel fondé sur l’intérêt vital ne peut être invoqué que si aucune autre base juridique ne peut le justifier, ceci alors alors qu’une personne est en danger.
Exemple : Les médecins doivent collecter les informations personnelles d’une personne plongée dans le coma pour pouvoir le soigner. La personne n’étant clairement pas en mesure de donner son consentement, le personnel soignant peut se fonder sur la sauvegarde de l’intérêt vital pour justifier le traitement des données.
5- Base légale RGPD : la mission d’intérêt public
Article 6 e) du RGPD : « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
Le recours à cette base légale se justifie plus spécifiquement pour les traitements mis en œuvre par :
• les autorités publiques dans le cadre de leurs missions ;
• des organismes privés à condition qu’ils poursuivent une mission d’intérêt public ou disposent de prérogatives de puissance publique.
La mission d’intérêt public peut constituer une base légale si :
1. Le traitement des données personnelles satisfait à la condition de « nécessité » : le traitement des données doit avoir pour seule finalité de permettre à l’organisme public d’exercer ses missions de manière pertinente et appropriée. La mission d’intérêt public doit concerner les usagers ou les publics des organismes concernés.
2. L’intérêt public est défini par le droit européen ou le droit national : la mission d’intérêt public doit reposer sur une base juridique, peu important qu’il s’agisse d’une loi, de la constitution, des textes européens, d’un décret etc.
Fonder son traitement des données personnelles sur cette base juridique à une incidence pour les responsables de traitement des autorités publiques. En effet, ces traitements ne sont pas soumis au mécanisme de coopération du guichet unique qui impose aux organismes de déterminer leur autorité chef de file. La CNIL reste la seule autorité compétente à l’égard de ces traitements.
Exemple : Le traitement des données à caractère personnel des jeunes placés et suivis par l’Aide social à l’enfance (ASE) est justifié par la mission d’intérêt public de cet organisme.
6- Base légale RGPD : L’intérêt légitime du responsable de traitement
Article 6 f) du RGPD : « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
Cette base légale ne peut être invoquée pour justifier un traitement de données personnelles que si les intérêts défendus ne créent pas de déséquilibre au détriment des droits et intérêts des personnes concernées.
L’intérêt légitime du responsable de traitement peut constituer une base légale si :
1. L’intérêt poursuivi par l’organisme est « légitime » : l’intérêt est considéré comme légitime s’il répond à 3 conditions :
• l’intérêt est licite selon le droit ;
• l’intérêt est déterminé de façon suffisamment claire et précise ;
• l’intérêt est réel et présent (pas fictif).
2. Le traitement satisfait à la condition de nécessité : le responsable de traitement doit être capable de démontrer qu’il n’existe pas de traitement moins intrusif que celui mis en œuvre pour protéger son intérêt légitime. Le traitement ne doit pas poursuivre d’autre objectif que la protection de l’intérêt légitime.
3. Le traitement ne doit pas entrer en collision avec les droits et intérêts des personnes concernées : il s’agit d’identifier les conséquences que le traitement des données peut avoir sur les personnes concernées et les mettre en balance avec l’intérêt que souhaite protéger le responsable de traitement.
Exemple : Le dirigeant d’une entreprise souhaite installer un système de vidéosurveillance dans les locaux. Il justifie ce traitement de l’image de ses salariés par l’intérêt légitime à assurer leur sécurité. Cependant, pour que cette base légale soit valide, la vidéosurveillance ne doit pas avoir d‘autre finalité, comme le contrôle des salariés durant leurs heures de travail. De plus, il devra être en mesure de démontrer que d’autres moyens moins intrusifs ne suffisent pas. Dans le cas contraire, le consentement des salariés est obligatoire.
Lorsque les traitements de données sont fondés sur l’intérêt légitime, les personnes concernées peuvent s’y opposer.
Pour conclure, gardez à l’esprit que dès lors que vous collectez et traitez des données, vous devez savoir à quoi ces données vont servir. La finalité du traitement des données doit vous aider à déterminer la base légale qui vous y autorise. Prenez le temps d’y réfléchir en amont, il s’agit d’une étape essentielle de votre mise en conformité au RGPD.