L’ABC DU RGPD | La notion de licéité des traitements de données personnelles

La licéité des traitements, une jolie nébuleuse qu’a éclairci la Commission Nationale de l’Informatique et des Libertés (CNIL) à la fin de l’année 2019.
Un éclaircissement qui n’est pas inutile, puisqu’il vaut mieux choisir la base légale exacte au risque de voir le traitement, dans son entier, devenir illicite.

En effet, tout traitement de données à caractère personnel doit être fondé sur une des six bases légales pour être licite aux yeux de la CNIL. Plus simplement, c’est la base légale qui permet à la structure de traiter légalement des données à caractère personnel. D’où l’intérêt de choisir la bonne base légale.

Pour rappel, voici les six bases légales occasionnant la licéité d’un traitement : « 1° le consentement : la personne a consenti au traitement de ses données ; 2° le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ; 3° l’obligation légale : le traitement est imposé par des textes légaux ; 4° la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ; 5° l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ; 6° la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers. » [1]  

Quels intérêts pour un responsable de traitements de choisir la bonne base légale pour chaque traitement de données ?  

– Premier avantage : un des principaux avantages réside dans le fait que toutes les bases légales n’ont pas les mêmes impacts en termes de droits des personnes concernées. Ainsi, il n’est pas possible pour une personne d’exercer son droit d’opposition pour un traitement fondé sur une obligation légale.
  – Deuxième avantage : une seule base légale doit être choisie par finalité de traitement. Dans le cas où un traitement est rattaché à plusieurs finalités (c’est-à-dire poursuit plusieurs objectifs) :
UN TRAITEMENT = UNE FINALITÉ = UNE BASE LÉGALE.
UN TRAITEMENT = PLUSIEURS FINALITÉS = PLUSIEURS BASES LÉGALES.
Ainsi, le responsable de traitement n’effectue aucun détournement de finalités.

Comment faire pour choisir la base légale d’un traitement ?  

La clef est de se positionner par rapport au contexte général du traitement. La CNIL donne, à ce titre, plusieurs exemples concrets : – « Si le traitement est mis en œuvre dans le cadre d’une relation contractuelle entre une entreprise et ses clients, il y a lieu de s’orienter d’abord vers la base légale « contrat » ;
– Si le traitement est imposé à l’organisme par des dispositions légales, la base juridique « obligation légale » doit être privilégiée ; […] » Il est parfois également conseillé d’argumenter le choix de la base légale effectué. En cas de contrôle CNIL, il sera possible pour les agents de retracer le cheminement ayant conduit au résultat, et ainsi à mieux comprendre votre choix.

A quels endroits doit apparaitre la base légale ?  

La base légale doit apparaitre dans les éléments d’informations fournis aux personnes concernées, (exemple : dans les mentions d’information d’un formulaire de contact). La CNIL conseille également de l’insérer dans le registre de traitements de données.

[1] https://www.cnil.fr/fr/la-liceite-du-traitement-lessentiel-sur-les-bases-legales-prevues-par-le-rgpd

FOCUS SUR L’INTÉRÊT LÉGITIME D’UNE ENTREPRISE A TRAITER DES DONNÉES PERSONNELLES

 

L’intérêt légitime est l’une des six bases légales permettant de rendre licite un traitement de données à caractère personnel.

L’intérêt légitime est une des bases légales dont les contours sont les plus perméables, mais également les plus flous. Cependant, si le raisonnement qui sous-tend l’utilisation de cette base légale est compris, elle peut être utilisée judicieusement par les Responsables de traitements.

Que veut dire exactement « intérêt légitime » au sens du RGPD ?

L’intérêt poursuivi par la structure doit être légitime, c’est-à-dire que l’intérêt doit être « justifié » en quelque sorte. La CNIL dresse une liste de 3 conditions permettant d’établir que l’intérêt est légitime :
L’intérêt est manifestement licite au regard du droit
L’intérêt est déterminé de façon suffisamment claire et précise
L’intérêt est réel et présent pour la structure, c’est-à-dire non fictif

La CNIL met à disposition une liste d’exemples concrets de traitements de données personnelles compatibles avec la base légale « intérêt légitime ». Ce sont des traitements : « Visant à garantir la sécurité du réseau et des informations,
Mis en œuvre à des fins de prévention de la fraude,
Nécessaires aux opérations de prospection commerciale auprès des clients d’une société,
Portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne.
A ce titre, les traitements répondant à cette finalité peuvent avoir pour base légale l’intérêt légitime.

Pour tout autre traitement ne faisant pas partit de cette liste, si l’intérêt légitime est envisagé en tant que base légale d’un traitement, le Responsable de traitements doit se demander si le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. Si et seulement si la réponse est négative, le traitement pourra être mis en œuvre. En effet, les intérêts ou droits fondamentaux de la personne concernée prévalent sur les intérêts de la structure.

En définitif, comment savoir si le traitement heurte les droits et intérêts des personnes ?

  Première étape : identifier toutes les conséquences que le traitement peut avoir sur les personnes concernées.
Deuxième étape : pour faire la balance entre les intérêts de la structure et les intérêts des personnes concernées, il faut tenir compte de leurs « attentes raisonnables ». A quoi peuvent s’attendre les personnes concernées ? Peuvent-elles être surprises par la mise en œuvre du traitement ? Par exemple, si elles achètent un produit auprès d’une marque, elles ne seront pas surprises par une proposition de services associés (provenant de la même marque). Cependant, si elles achètent un produit et qu’ensuite elles reçoivent plusieurs propositions ciblées d’autres marques suite à cet achat, cela dépasse ce qu’elles attendent légitimement lorsqu’elles achètent un produit.