En vertu du règlement général sur la protection des données (RGPD), le responsable du traitement des données à caractère personnel doit déterminer la base légale de chaque finalité des traitements des données effectués sous sa responsabilité (c’est-à-dire les traitements des données mis en oeuvre soit par lui-même, soit par son sous-traitant).

Les différentes bases légales du traitement des données sont énoncées à l’article 6 du RGPD et comprennent, entre autres, le consentement, l’intérêt légitime, l’exécution d’un contrat et le respect d’une obligation légale.

Toutefois,  lorsque des catégories particulières de données et des données relatives à des condamnations pénales sont traitées, des dispositions spécifiques prévues aux articles 9 et 10 du RGPD s’appliquent et ajoute des conditions particulières aux traitement de ce type de données.

Le fait de ne pas considérer au préalable la base légale du traitement peut conduire à diverses violations du RGPD et, notamment, à une violation des droits des personnes concernées.

1. Pourquoi déterminer les bases légales des traitements ?

La principale raison de la détermination d’une base légale du traitement est que les données à caractère personnel doivent être traitées de manière licite (voir ici les principes de la protection des données). Cela signifie que chaque finalité de traitement doit s’appuyer sur une base légale énoncée dans le RGPD pour être considérée comme licite. Le défaut de base légale est sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel global du responsable du traitement.

Au-delà du risque de traitement illicite, il est important de déterminer la base légale d’un traitement de données pour, entre autres, les raisons suivantes :
– GDPR exige que la base légale du traitement soit indiquée dans la mention d’information fournie aux personnes concernées (voir articles 13 et 14 RGPD).
Les droits des personnes s’appliquent différemment selon la base légale de la ou des finalités pour lesquelles les données sont traitées (par exemple, il n’est possible de retirer le consentement que lorsque le traitement est fondé sur le consentement, de s’opposer lorsque le traitement est fondé sur l’intérêt légitime ou un intérêt public, etc.

2. Quelles sont les différentes bases légales ?

Le responsable du traitement doit déterminer la base légale pour chaque finalité du traitement, même lorsque le même ensemble de données à caractère personnel est utilisé à des fins différentes.

Ces bases légales sont énoncées à l’article 6 du RGPD et sont détaillées ci-après (voir 2.1.)

Toutefois, lorsque le traitement concerne des catégories particulières de données ou des condamnations pénales, les articles 9 et 10 du RGPD s’appliquent respectivement. Ces deux articles sont beaucoup plus restrictifs et peuvent être complétés par le droit national (voir points 2.2 et 2.3 ci-dessous).

2.1. Bases légales du traitement des données à caractère personnel

Le consentement doit être éclairé, spécifique, libre et univoque.

(i) Le risque, lorsqu'on se base sur le consentement, est que les personnes concernées peuvent retirer leur consentement à tout moment. Par conséquent, le consentement ne devrait être utilisé que lorsqu'aucune autre base légale n'est applicable ou lorsque le consentement est requis par une autre loi (par exemple, email de prospection commerciale).

(ii) Il convient de garder à l'esprit que lorsque la relation entre les personnes et le responsable du traitement est déséquilibrée (par exemple, relation de travail), le consentement peut ne pas être considéré comme valable car il n'est pas donné librement.

(iii) En outre, le consentement ne doit pas être subordonné à la fourniture d'un autre service ni être confondu avec le consentement à un accord, qui peut constituer une autre base juridique pour le traitement (voir ci-dessous).

(iv) Un consentement spécifique est nécessaire pour chaque finalité de traitement reposant sur cette base légale, le consentement groupé n'est donc pas considéré comme valable. En outre, lorsque la finalité du traitement n'est pas autorisée par la loi ou en violation d'autres principes de protection des données tels que la proportionnalité, le fait d'obtenir le consentement des personnes concernées ne rend pas nécessairement cette finalité licite (pour plus de détails sur le consentement, voir l'article relatif au consentement ici).

L'intérêt légitime poursuivi par le responsable du traitement ou par un tiers.

(i) De nombreux traitements, en particulier dans le domaine des ressources humaines ou des activités de marketing (par exemple, le profilage, le contrôle l'activités des salariés etc.) peuvent reposer sur un intérêt légitime. Toutefois, les intérêts poursuivis par le responsable du traitement ne doivent pas remettre en cause les intérêts ou les libertés et droits fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

ii) Ainsi, une analyse doit être effectuée afin de s'assurer de l'équilibre entre les intérêts du responsable du traitement et les intérêts, droits et libertés fondammentales des personnes concernées. Dans certains cas, il peut être nécessaire de prévoir des garanties supplémentaires, telles qu'une option de refus de traitement accessible ou le caractère facultatif de la collecte des données. Si, suite à l'analyse et malgré les garanties supplémentaires mises en place, ce traitement reste une menace pour les droits et libertés des personnes, la base légale applicable devrait être le consentement de la personne concernée.

Bien que le RGPD ne l'exige pas explicitement, les autorités attendent des responsables du traitement de conserver les analyses effectué (c'est-à-dire une analyse prenant en considération les attentes des personnes, l'impact sur leur vie privée, les risques, etc.).

(i) Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d'un contrat.

Cette base juridique s'applique généralement au traitement des données collectées pour effectuer une vente en ligne (adresse électronique, adresse de facturation, type de produit, nom complet, etc.) ou pour rendre tout type de services.

Elle ne doit toutefois pas être confondue avec le consentement (voir ci-dessus), car elle s'applique à tout traitement nécessaire à l'exécution d'un contrat auquel la personne concernée a consenti (c'est-à-dire le consentement à des conditions générales ou à tout autre type d'accord).

Le fait d'inclure dans un contrat des conditions qui ne seraient normalement pas une disposition de celui-ci afin de rendre un traitement de données à caractère personnel contractuellement contraignant, ne rend pas nécessairement la "base contractuelle" applicable (par exemple, en incluant des dispositions relatives au profilage qui ne sont pas nécessaires à la fourniture du service prévu au contrat, etc.).

(ii) En outre, cette base légale comprend également les mesures prises à la demande de la personne concernée avant la conclusion d'un contrat. Ceci inclut, par exemple, toute question que les personnes peuvent poser sur un produit par l'intermédiaire d'un formulaire de contact.

Le traitement est nécessaire pour le respect d'une obligation légale à laquelle le responsable du traitement est soumis (ex: le droit du travail, la lutte contre le blanchiment d'argent, la réglementation relative aux communications en ligne, etc.) ).

Par exemple, lors de l'embauche d'un salarié, son numéro de sécurité sociale / numéro d'assurance nationale est souvent requis par la loi ainsi que tout identifiant fiscal pour le paiement des impôts et des assurances.

Les autres bases légales sont moins fréquemment utilisées pour justifier la mise en oeuvre d'un traitement car leur périmètre est plus restreint et ne concerne que des activités particulières.

- Le traitement est nécessaire afin de protéger les intérêts vitaux de la personne concernée d'une autre personne physique (par exemple, appel d'urgence, etc.)

- Le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le recours à cette dérogation nécessite de se référer à la législation nationale qui peut fournir davantage de détails sur ce qui est considéré comme étant d'intérêt public (par exemple, le journalisme, archivages publics etc.)

2.2. Bases légales pour le traitement de catégories particulières de données (« données sensibles »)

Les catégories particulières de données sont les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identification unique d’une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Leur traitement est, en principe, interdit, sauf si le responsable du traitement se fonde sur l’une des bases juridiques énoncées à l’article 9 du RGPD et, le cas échéant, précisées dans le droit de chaque État membre.

Si des données à caractère personnel et des données sensibles étaient traitées pour la même finalité de traitement, le responsable du traitement devrait à la fois choisir une base juridique énoncée à l’article 6 pour le traitement des données à caractère personnel et choisir une autre base juridique énoncée à l’article 9 pour le traitement des données sensibles. Si aucune base juridique au titre de l’article 9 (ou telle que prévue par le droit national) n’est applicable à la finalité pour laquelle les données sensibles sont traitées, le responsable du traitement devrait alors envisager de ne pas traiter de données sensibles à cette fin.

Les bases légales sur lesquelles les sociétés commerciales se fondent habituellement sont les suivantes :

– la personne concernée a donné son consentement explicite (qui ne doit pas être confondu avec le consentement au traitement de données non sensibles) ;

– le traitement est nécessaire à l’exécution des obligations et à l’exercice des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine du droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où il est autorisé par le droit de l’Union ou des États membres ou par une convention collective ;

– le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée. Cette notion pouvant s’avérer difficile à appliquer en pratique, il serait utile d’avoir plus de détails sur le moment où les données sont considérées comme manifestement rendues publiques ;

– le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou lorsque les tribunaux agissent en leur qualité de juridiction ;

– le traitement est nécessaire pour des raisons d’intérêt public important. La notion d' »intérêt public » est définie par chaque État membre et peut varier considérablement d’un État membre à l’autre. Toutefois, il couvre souvent les exemptions relatives au journalisme et aux activités artistiques.

2.3. Traitement des données relatives aux condamnations pénales ou autres mesures de sûreté (« données criminelles »)

Les données criminelles peuvent être traitées conformément à l’article 10 du RGPD, qui prévoit que le traitement des données criminelles fondé sur l’article 6 du RGPD « n’est effectué que sous le contrôle de l’autorité publique ou lorsque le traitement est autorisé par le droit de l’Union ou des États membres, qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ». En outre, tout registre complet des condamnations pénales ne peut être conservé que sous le contrôle de l’autorité publique.

Ces dispositions, tout en étant assez restrictives, laissent une grande marge de manœuvre à chaque État membre. Par conséquent, le cadre juridique peut être très différent d’un État membre à l’autre.

En pratique, le responsable du traitement doit à la fois s’assurer que la finalité du traitement repose sur une base légale prévue à l’article 6 du RGPD et, s’il ne s’agit pas d’une autorité officielle, il doit également s’assurer qu’elle est autorisée par la loi.
A cet égard, une telle autorisation n’est pas toujours prévue par la législation nationale sur la protection des données et peut se trouver dans d’autres types de lois telles que la réglementation sur le blanchiment de capitaux, la réglementation bancaire, etc.

Partage

Les bases légales des traitements de données
Étiqueté avec :