Le règlement général sur la protection des données (RGPD) est le cadre juridique commun à tous les organismes de l’Union européenne qui mettent en œuvre des traitements de données personnelles. Depuis son entrée en vigueur en 2018, le sujet de la conformité de la gestion des données personnelles aux principes du RGPD est devenu incontournable dans l’activité des services de chaque organisme.
Au regard des montants des amendes prononcées par les autorités de contrôle ainsi que de l’impact sur l’image des organismes, la conformité au RGPD est un véritable enjeu de confiance entre les organismes et leurs clients ou administrés.
Parmi les différents principes encadrant les traitements de données personnelles, le RGPD pose un principe fondamental qui dispose que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ». Cette condition de licéité d’un traitement de données personnelles signifie que pour que ce traitement soit conforme, il est indispensable qu’il soit associé à une base légale ; c’est-à-dire le fondement juridique autorisant l’organisme à réaliser le traitement de données personnelles selon la définition de l’Autorité de Protection des Données.
Tout traitement mis en œuvre sans base légale est de facto illicite. De plus, le choix d’une base légale entraîne des conséquences très concrètes, puisque chaque base légale répond à des conditions de validité spécifiques et vient conditionner l’exercice des droits RGPD des personnes sur leurs données personnelles. Les responsables de traitement auront ensuite la charge de documenter le choix de cette base légale et de la référencer au sein de leur registre des traitements ainsi que dans les différents supports d’information mis à la disposition des personnes concernées (mentions d’information, politique de confidentialité, etc.).
Le RGPD prévoit 6 bases légales différentes sur lesquelles les traitements de données personnelles peuvent être fondés, à savoir :
- Le consentement ;
- Le contrat ;
- L’intérêt légitime ;
- L’obligation légale ;
- La mission d’intérêt public ;
- La sauvegarde des intérêts vitaux.
Le RGPD prévoit également 10 exceptions autorisant le traitement de données dites « sensibles ». Les exceptions autorisant le traitement de données sensibles font l’objet d’une illustration par l’Autorité de Protection des Données.
Découvrez nos conseils pour mieux identifier la base légale de vos traitements de données personnelles.
Comment identifier la base légale d’un traitement de données personnelles ?
En pratique, on observe que certaines bases légales se rencontrent plus fréquemment que d’autres. En effet, les activités « classiques » d’un organisme qui nécessitent de manipuler des données personnelles sont souvent associées au consentement, au contrat, à l’intérêt légitime ou au respect d’une obligation légale ; tandis que les traitements fondés sur la mission d’intérêt public, la sauvegarde des intérêts vitaux ou sur les fondements spéciaux autorisant le traitement de données sensibles sont plus rares.
Les bases les plus courantes
Le consentement
Le consentement est la base légale la plus évidente lorsque l’on s’intéresse au sujet de la protection des données personnelles. En soumettant la licéité d’un traitement à la collecte préalable d’un consentement des personnes, l’organisme offre le choix aux personnes de l’autoriser formellement à traiter leurs données personnelles. Toutefois, pour être valide, le consentement doit être recueilli selon des conditions de validité fixées par le RGPD :
– Il doit être donné librement, le consentement ne doit pas être contraint ni influencé ;
– Il doit être spécifique à un seul traitement et pour une finalité déterminée ;
– Il doit être éclairé, ce qui signifie qu’un certain nombre d’informations sont à donner à la personne ;
– Il doit être donné par une déclaration ou tout autre acte exprimant cet accord.
Certaines activités sont clairement identifiées comme devant faire l’objet d’un consentement préalable, comme l’envoi d’emails de prospection commerciale auprès de consommateurs ou encore le dépôt de cookies destiné à personnaliser la publicité présentée sur le site visité.
Les solutions Admeet vous permettent d’obtenir le consentement valide de vos utilisateurs via des bannières cookies et de stocker les preuves de consentement cookies en cas de contrôle ou de plainte.
Le contrat
Le RGPD prévoit que certains traitements peuvent se fonder sur la base légale du « contrat », ce qui signifie que l’utilisation des données personnelles est nécessaire pour exécuter un contrat entre l’organisme et la personne concernée. Cette base légale se rencontre lorsque le traitement des données personnelles est indispensable pour fournir un produit ou un service. Par exemple, lorsqu’une personne réalise des achats en ligne en utilisant sa carte bancaire ou pour organiser la livraison du produit.
Le RGPD impose aux organismes de mobiliser cette base légale en vérifiant que le traitement réalisé est strictement nécessaire à l’exécution du contrat. En d’autres termes, l’organisme ne pourrait pas délivrer un service ou fournir un produit sans ce traitement particulier de données personnelles.
L’intérêt légitime
Lorsqu’un organisme souhaite mettre en place un traitement de données personnelles qui ne peut pas être soumis au contrat ou au consentement de la personne concernée, il peut fonder ce traitement sur la base légale de son « intérêt légitime ». Cet intérêt est considéré comme légitime sous réserve qu’il soit :
– licite ;
– déterminé de façon suffisamment claire ;
– concret.
L’organisme a la responsabilité de documenter l’analyse de la balance entre les droits et libertés des personnes avec la légitimité de son intérêt et la nécessité du traitement, dès qu’il souhaite fonder ce traitement sur la base légale de l’intérêt légitime. Cette base légale est fréquemment mobilisée pour les traitements de données personnelles relatifs à la sécurité du système d’information ou encore pour déployer des dispositifs antifraude en ligne.
L’obligation légale
Enfin, l’organisme peut simplement être contraint de mettre en œuvre des traitements de données personnelles pour se conformer à une obligation légale à laquelle il serait soumis. Cette base légale n’est invocable que si :
– un texte juridique de droit européen ou de droit national définit les finalités du traitement ;
– ce traitement est impératif pour accomplir cette obligation du point de vue de l’organisme, de façon suffisamment claire et précise.
Par exemple, cette base légale se retrouve souvent pour fonder les traitements de données personnelles relatifs à la gestion des ressources humaines.
Les bases légales spécifiques
La mission d’intérêt public
La mission d’intérêt public est la base légale qui concerne principalement les traitements de données personnelles réalisés par les autorités publiques et qui concernent leurs usagers (ou certains organismes privés contribuant à des missions de service public).
Pour invoquer la base légale de la mission d’intérêt public, il est nécessaire qu’un texte réglementaire pose les conditions du traitement (loi, décret, acte d’une collectivité locale, etc.). À titre d’exemple, la CNIL fonde les traitements de données personnelles relatifs à ses missions de contrôle des organismes sur la base légale de la mission d’intérêt public. Comme tout responsable de traitement de données personnelles, la CNIL tient un registre détaillant ses activités de traitement.
La « sauvegarde des intérêts vitaux »
La sauvegarde des intérêts vitaux est la dernière base légale prévue à l’article 6 du RGPD. Pour qu’un traitement puisse être fondé sur cette base légale, le responsable du traitement doit s’assurer :
– que ce traitement est nécessaire pour sauver la vie de la personne concernée ;
– que cette personne n’est pas en mesure de consentir à ce traitement.
Par sa nature, la base légale de sauvegarde des intérêts vitaux se rencontre fréquemment dans les dispositifs de prise en charge de personnes inconscientes mis en œuvre par les établissements de santé.
Les exceptions autorisant le traitement de données sensibles
Par extension aux 6 bases légales prévues, il faut aussi avoir à l’esprit que le traitement de données sensibles est soumis à un régime de licéité différent. En effet, l’article 9 du RGPD dispose que, par exemple, le traitement de données de santé ou liées à l’orientation politique d’une personne est en principe interdit. Toutefois, par exception, le traitement de données sensibles est permis sous certaines conditions listées par le RGPD. Ainsi, le traitement de données sensibles est possible :
- sous réserve que la personne y ait consenti ;
- ou que ce traitement soit mis en œuvre dans le cadre de l’activité légitime d’une association ou d’un organisme à but non lucratif ;
- ou encore que la personne ait rendu ces informations publiques de son propre chef, etc.
L’existence de ces exceptions à l’interdiction de traiter des données sensibles ne doit pas être confondue avec le principe de licéité : ces exceptions ne sont pas considérées juridiquement comme des bases légales.
Quelles sont les conséquences du choix d’une base légale ?
La définition de la base légale d’un traitement de données personnelles est un moment important dans la vie du traitement, car cette base légale vient définir le régime d’exercice des droits des personnes sur leurs données personnelles.
La gestion des demandes de droits RGPD
Le RGPD consacre des droits aux personnes concernées sur leurs données personnelles et prévoit les modalités d’exercice de ces droits. Ainsi, les personnes concernées peuvent demander au responsable d’un traitement l’accès à leurs données, la rectification des données, leur effacement, la limitation du traitement ou encore la portabilité de ces données.
Toutefois, le responsable de traitement n’est pas obligé de donner suite systématiquement à ces demandes d’exercice de droits. Certaines bases légales viennent conditionner l’exercice de certains droits.
À titre d’exemple, lorsqu’un traitement est réalisé sur la base légale de l’obligation légale, les personnes concernées ne peuvent pas exercer de droit d’opposition au traitement ou demander la portabilité du traitement.
À l’inverse, un responsable de traitement peut répondre favorablement à une demande de portabilité des données, uniquement si le traitement est mis en œuvre sur la base légale du contrat ou du consentement.
Autre exemple : lorsqu’un traitement est mis en œuvre sur la base légale du contrat, les personnes concernées étant parties au contrat, elles ne peuvent exercer leur droit d’opposition à ce traitement puisque cela reviendrait à suspendre l’exécution de ce contrat.
Par conséquent, les responsables de traitement doivent prêter une attention particulière lors de la définition de la base légale d’un traitement dès lors que ce choix a des conséquences sur les droits des personnes concernées par le traitement. En parallèle, l’absence de base légale a des conséquences pour le responsable de traitement lui-même.
Le risque d’illicéité du traitement
Un traitement de données personnelles qui serait réalisé sans aucune base légale est considéré comme un traitement illicite et expose le responsable de traitement aux sanctions importantes prévues par le RGPD. En effet, une violation du principe de licéité d’un traitement expose le responsable de traitement à un risque d’amende prononcée par l’autorité de contrôle dont le montant peut s’élever à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
Il est important de noter que si l’absence de base légale est un manquement au principe de licéité, le non-respect des conditions de validité d’une base légale est également une violation du principe de licéité. À ce titre, la CNIL a sanctionné un organisme qui avait organisé une campagne de prospection commerciale par emails, sans être en mesure de démontrer qu’il avait valablement recueilli le consentement des personnes concernées par cette campagne. À noter qu’un traitement particulièrement illicite est considéré comme une infraction pénale susceptible d’engager la responsabilité pénale des auteurs du traitement en cause.
L’application d’Admeet vous permet d’identifier facilement les bases légales des traitements de données personnelles grâce aux nombreux cas d’application et exemples et de formaliser une documentation légale exemplaire de vos traitements de données personnelles.