Cet article fait suite à notre ancien blog sur le consentement dans le cadre du GDPR, dans lequel nous avons brièvement expliqué comment fonctionne le consentement et quelles en sont les limites. Nous avons brièvement mentionné que le consentement n'est pas toujours nécessaire et que les données à caractère personnel peuvent parfois être traitées légalement sans le consentement de la personne concernée.
Aujourd'hui, nous allons examiner de près toutes les autres bases juridiques pour le traitement des données dans le cadre du GDPR. Il y a suffisamment de matière pour écrire un livre sur le sujet, c'est pourquoi nous serons aussi brefs et directs que possible.
- Qu'est-ce qu'une base juridique ?
- Quelles sont les bases juridiques prévues par le GDPR ?
- Quelle base juridique dois-je choisir ?
- Les bases juridiques
- Réflexions finales
Entrons dans le vif du sujet !
Qu'est-ce qu'une base juridique ?
En bref : pour traiter des données de manière licite1, vous devez vous appuyer sur l'une des six bases juridiques énumérées à l'article 6 du RGPD. D'un point de vue pratique, considérez ces conditions comme des exigences alternatives qui doivent être satisfaites lorsque des données doivent être traitées.
Quelles sont les bases juridiques prévues par le GDPR ?
L'art. 6, paragraphe 1, énumère six bases juridiques:
- le consentement
- l'exécution d'un contrat
- le respect d'une obligation légale
- l'intérêt vital de la personne concernée ou d'une autre personne physique
- exécution d'une mission d'intérêt public/exercice d'une autorité publique
- l'intérêt légitime du responsable du traitement
Ces bases juridiques s'accompagnent d'exigences spécifiques, qui peuvent être considérées comme un ensemble de "pour et contre". Par exemple, le consentement doit être libre, spécifique, éclairé et sans ambiguïté"2. Si ces exigences ne peuvent être satisfaites, un autre motif doit être utilisé. Parfois, deux motifs ou plus sont disponibles, tandis qu'à d'autres moments, aucun motif n'est disponible, auquel cas les données ne peuvent pas être traitées.
Il convient de noter qu'il n'y a pas d'ordre de priorité entre les motifs juridiques. Par exemple, un responsable du traitement est libre de choisir entre le consentement (en premier) et l'intérêt légitime (en dernier), à condition que les exigences de chaque motif puissent être satisfaites dans ce scénario spécifique.
Quelle base juridique dois-je choisir ?
Comme nous l'avons dit, chaque motif est assorti d'exigences spécifiques. Parfois, un seul motif est disponible et vous n'avez pas le choix. Dans d'autres cas, vous pouvez avoir le luxe de choisir entre deux ou plusieurs.
Chaque base juridique présente des avantages et des inconvénients. Par exemple, supposons que vous puissiez choisir entre le consentement et l'intérêt légitime. Si vous optez pour le consentement, vous devez commencer par collecter les données. Vous devez également vous assurer que les exigences en matière de consentement (libre, éclairé, spécifique et non ambigu) sont respectées. Enfin, vous devez savoir que le consentement peut être retiré et être prêt à faire face à cette éventualité.
Si vous vous appuyez plutôt sur l'intérêt légitime, vous n'avez pas besoin de recueillir le consentement et vous n'avez pas à vous préoccuper du fait que le consentement puisse être retiré ultérieurement. Mais vous devrez trouver un équilibre entre votre intérêt et les droits de la personne concernée, qui peut s'opposer au traitement (voir plus loin).
Il s'agit donc d'une évaluation au cas par cas. Par exemple, si le traitement est très invasif, votre intérêt légitime peut être difficile à concilier et le consentement peut être un meilleur choix. En revanche, si vous êtes très préoccupé par le retrait du consentement, vous pouvez envisager de privilégier l'intérêt légitime. Il n'y a pas vraiment de solution unique, ce qui rend les choses amusantes.
Cela étant dit, tous les motifs ont des exigences spécifiques et, par conséquent, certains sont plus facilement accessibles à certains responsables du traitement. Les entreprises et autres entités privées s'appuient généralement sur le consentement, le contrat et l'intérêt légitime. En revanche, les entités publiques s'appuient généralement sur l'obligation légale ou l'intérêt public/l'autorité3.
Les bases juridiques
Nous avons déjà abordé la question du consentement, nous allons donc nous pencher sur les autres bases juridiques. Il y a beaucoup à dire sur les bases juridiques et nous ne pouvons qu'en effleurer la surface.
Le contrat
En vertu de l'art. 6, paragraphe 1, point b), du GDPR, vous pouvez traiter des données lorsque le traitement est "nécessaire à l'exécution d'un contrat" avec la personne concernée ou à la conclusion d'un contrat à sa demande. Par exemple, si vous expédiez des marchandises à un client, vous avez besoin d'une adresse de livraison et d'informations de contact pour vous assurer que l'expédition se déroule correctement. Vous pouvez traiter ces données sur la base de l'exécution de votre contrat avec le client.
Le contrat est une base juridique pratique et sans problème. En revanche, elle est assez restrictive quant aux données qui peuvent être traitées, car la notion de nécessité doit être interprétée de manière stricte et en référence à l'objet réel du contrat.
En d'autres termes, vous ne pouvez pas prévoir dans un contrat le traitement de données inutiles comme une excuse commode pour invoquer cette base juridique. Les autorités chargées de la protection des données ne vous laisseront pas tromper le système de la sorte. Cela dit, il n'est pas toujours évident de savoir si le traitement de certaines données est essentiel à un contrat, de sorte qu'il peut y avoir des zones d'ombre dans la pratique.
Il convient de clarifier les motifs du contrat et du consentement. Pour être clair, il ne faut pas confondre le consentement au contrat et le consentement au traitement des données. Néanmoins, lorsque le traitement fait partie d'un contrat, il est bon d'identifier explicitement la base juridique du traitement des données, par précaution. Cela peut éviter quelques maux de tête et aide le responsable du traitement à respecter ses obligations de transparence en vertu de l'art. 13.
Mise à jour : le Comité européen de la protection des données a récemment réglé trois affaires très médiatisées impliquant Meta. Ces affaires portaient sur l'exécution du contrat en tant que base juridique, et le Conseil s'est contenté de clarifier ce qui était déjà bien établi : la notion de nécessité doit être interprétée de manière stricte. Nous avons analysé ces décisions en profondeur car elles auront probablement un impact important sur la publicité ciblée.
Intérêt légitime
En vertu de l'art. 6, paragraphe 1, point f), les données peuvent être traitées lorsque cela est nécessaire à la poursuite d'un intérêt légitime du responsable du traitement ou d'un tiers. Par exemple, une entreprise peut installer des caméras de surveillance dans ses locaux en raison de son intérêt légitime à protéger ses biens.
La notion d'intérêt légitime est très large. Elle peut couvrir l'intérêt d'une personne à protéger sa propriété, l'intérêt d'une entreprise à gérer ses affaires ou à faire de la publicité pour un produit, l'intérêt d'une ONG à poursuivre des objectifs humanitaires et l'intérêt d'un site web à générer des revenus publicitaires. Même un intérêt général peut parfois être invoqué pour se prévaloir de l'intérêt légitime.
Par conséquent, l'intérêt légitime est un motif très flexible et peut être utilisé à de nombreuses fins. Mais cette souplesse s'accompagne d'une limitation spécifique (et d'une obligation de conformité) : le responsable du traitement doit s'assurer que les intérêts, les droits et les libertés des personnes concernées ne l'emportent pas sur son intérêt.
Cette évaluation est communément appelée " mise en balance". En bref, la mise en balance consiste en trois questions4 : l'intérêt est-il légitime ? Le traitement est-il nécessaire ? Et le traitement a-t-il une incidence disproportionnée sur la situation de la personne concernée ?
Cela semble assez simple, mais c'est assez délicat. La mise en balance est une évaluation au cas par cas qui doit prendre en compte de nombreuses variables. Revenons à notre exemple : les caméras sont-elles actives en permanence ou seulement en dehors des heures de travail ? Les caméras sont-elles placées sur le parking de l'entreprise ou à l'intérieur du lieu de travail, où elles peuvent filmer les employés pendant qu'ils travaillent ? Les caméras filment-elles les piétons qui se déplacent dans la rue ? Toutes ces questions sont pertinentes pour la mise en balance de l'intérêt légitime.
En pratique, le responsable du traitement effectue généralement le test de mise en balance en rédigeant une évaluation (évaluation de l'intérêt légitime ou EIL). Bien qu'elle ne soit pas obligatoire en vertu du GDPR, une évaluation écrite est le moyen le plus simple pour le responsable du traitement de montrer qu'il a fait ses devoirs en ce qui concerne la mise en balance5.
Il y a beaucoup plus à dire sur la mise en balance6, et nous ne pouvons pas aller trop loin ici. Mais l'essentiel est que l'équilibrage est délicat et que vous devez en tenir compte lorsque vous décidez de vous appuyer sur l'intérêt légitime. D'un autre côté, l'intérêt légitime est un motif très flexible, et il peut donc être votre seul choix dans certains scénarios.
Deux derniers points. Premièrement, le GDPR prévoit que les autorités publiques ne peuvent pas invoquer ce motif dans l'exercice de leurs fonctions7. Deuxièmement, la personne concernée a le droit de s'opposer au traitement de ses données sur la base de l'intérêt légitime8. Ce droit fonctionne notamment comme un mécanisme d'exclusion du traitement des données à caractère personnel à des fins de marketing direct9. Nous n'entrerons pas dans les détails, mais si vous êtes curieux, le site web de l'ICO est une bonne source d'informations sur ce sujet (il n'y a pas de différence entre le GDPR et le GDPR britannique à cet égard).
Obligation légale
En vertu de l'art. 6, paragraphe 1, point c), les données à caractère personnel peuvent être traitées lorsque le traitement "est nécessaire au respect d'une obligation légale". Par exemple, une banque peut traiter les données à caractère personnel de ses clients pour s'acquitter des obligations qui lui incombent en vertu de la réglementation relative à la lutte contre le blanchiment d'argent.
L'art. 6(3) précise en outre que la source d'une obligation légale doit être le droit de l'UE ou d'un État membre. La notion de droit est large et inclut des règles telles que des actes administratifs ou des décisions judiciaires10. Quoi qu'il en soit, ce "droit" doit répondre à des exigences spécifiques définies par le GDPR. Cela signifie que les États membres ne peuvent pas rendre licite un traitement de données à caractère personnel en se contentant de créer une loi à cette fin.
Tout comme l'exécution d'un contrat, l'obligation légale est un motif relativement simple, mais elle est également très restrictive en ce qui concerne les données qui peuvent être traitées.
Intérêt vital
En vertu de l'article 6, paragraphe 1, point d), les données peuvent être traitées pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne. Par exemple, si un employé est en danger imminent, l'employeur peut fournir aux forces de l'ordre des données GPS issues des soins de l'entreprise afin qu'elles puissent le retrouver et intervenir dans les plus brefs délais.
Dans ce contexte, l'intérêt vital signifie qu'une situation de danger de mort est en train de se produire. Il s'agit d'un motif plutôt exceptionnel qui n'est pas utilisé pour le traitement quotidien des données.
Intérêt public ou exercice de l'autorité publique
Il s'agit d'un motif assez long : en vertu de l'art. 6(1)(e), les données peuvent être traitées lorsqu'elles sont "nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement". Par exemple, une école publique peut traiter les notes des élèves sur la base de sa mission d'intérêt public qui consiste à faire progresser l'éducation. L'administration fiscale peut traiter vos données à caractère personnel dans le cadre d'un contrôle, car la loi l'y autorise.
Ce motif est généralement utilisé par les autorités publiques et les entités publiques, car il est plus souple que l'obligation légale. Il peut également être utilisé par des entités privées, mais uniquement dans des scénarios spécifiques, par exemple lorsqu'une entreprise privée fournit un service public dans le cadre d'un contrat d'achat.
Enfin, le droit d'opposition mentionné précédemment s'applique également au traitement des données fondé sur l'intérêt public/l'autorité11.
Réflexions finales
Il est important de traiter correctement les données à caractère personnel. Cependant, les lignes directrices et les lois ne sont pas toujours faciles à comprendre le GDPR. Nous avons essayé de présenter une vue d'ensemble complète afin de clarifier un peu plus les différentes bases juridiques de la collecte de données. Le GDPR a fixé les limites de ce qui est possible et de ce qui ne l'est pas. En tant qu'entreprise, vous devez respecter ces lois afin de protéger la vie privée de vos clients. Une bonne compréhension de ces bases juridiques réduit les risques de poursuites judiciaires et de violations de données pour votre entreprise.
Même si le GDPR n'existait pas et qu'il n'y avait pas de lois à violer concernant la protection des données, les organisations sont moralement obligées de traiter les données des visiteurs de leur site web de manière responsable. C'est du moins ce que nous pensons chez Simple Analytics.
C'est pourquoi nous avons créé une alternative à Google Analytics respectueuse de la vie privée, qui n'utilise pas de cookies et ne collecte pas de données personnelles, tout en obtenant des informations exploitables sur les visiteurs de votre site web.
Nous croyons en la création d'un web indépendant qui est convivial pour les visiteurs de sites web tout en fournissant les informations dont vous avez besoin pour gérer votre entreprise. Si vous vous sentez concerné, n'hésitez pas à nous contacter.
1 : Il s'agit du principe de licéité énoncé à l'art. 5(1)(a) du GDPR 2 : Art. 4(11) DU RGPD 3 : Les entités publiques jouissent généralement d'un certain degré de déséquilibre de pouvoir avec la personne concernée, ce qui signifie que le consentement n'est pas toujours donné librement comme l'exige l'article 4, paragraphe 11, du RGPD. 4(11) GDPR. L'art. 6 prévoit également que les autorités publiques (ce qui est plus spécifique que les entités publiques) ne peuvent pas invoquer l'intérêt légitime lorsqu'elles pourraient plutôt invoquer l'intérêt public/l'autorité 4 : Il s'agit du test en trois parties élaboré par la CJUE (CJUE - C-13/16 - Rīgas satiksme) 5 : Voir l'art. 5, paragraphe 2 (responsabilité) ainsi que 24 RGPD (responsabilité du responsable du traitement) 6 : Si vous souhaitez en savoir plus sur l'intérêt légitime, l'ICO britannique fournit des informations très accessibles sur son site web7 : Art. 6(1) DU RGPD 8 : 21 DU RGPD. Il en va de même pour les traitements fondés sur l'article 6, paragraphe 1, point e) 9 : 21, paragraphe 3, du RGPD 10 : Kuner et autres, Commentaire sur le règlement général de l'UE sur la protection des données (RGPD). A Commentary, 2020, p. 333 11 : 21 GDPR.