Fiche thématique
14 min de lecture
18 novembre 2024
Parmi les principes relatifs au traitement de données personnelles, le RGPD prévoit que les données doivent être traitées de manière licite (RGPD, art. 5, § 1, a). La licéité du traitement est principalement abordée par le biais de la base juridique du traitement, qui doit être déterminée en amont (plusieurs bases juridiques peuvent coexister), mais également de la finalité du traitement, notion clé en matière de protection des données personnelles, qui connaît des règles spécifiques en cas de traitement ultérieur pour une ou des finalités autre(s) que le traitement initial.

Sommaire

Conditions de licéité du traitement

Quelles garanties d’un traitement licite ?

Les conditions de licéité du traitement existaient déjà en leur principe dans la directive 95/46/CE du 24 octobre 1995, abrogée depuis le 25 mai 2018, même si leur expression était différente. Au sens du RGPD et de la loi Informatique et libertés, le traitement n’est licite que si au moins une des conditions suivantes est remplie (RGPD, art. 6, § 1  ; L. n° 78-17, 6 janv. 1978, art. 5  :

  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ;
  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Remarque

La condition des « intérêts légitimes » ne peut pas être utilisée pour les traitements réalisés par les responsables de traitement du secteur public (sauf pour les traitements « internes »).

Point de vue de l’AFCDP

Un même traitement peut avoir plusieurs finalités. Chaque finalité doit répondre à une condition de licéité. Chaque condition de licéité pouvant avoir des conséquences différentes, il est fortement recommandé de ne retenir qu’une seule condition pour chaque finalité.

Les différentes bases juridiques d’un traitement

Le consentement

Le consentement tient une place importante dans le RGPD et correspond à une approche selon laquelle la personne concernée est la plus à même de déterminer si elle souhaite communiquer ses données à caractère personnel et permettre leur traitement pour une finalité déterminée. Même si cette vision peut connaître des limites, la clarification opérée par le RGPD sur la notion même de consentement est bienvenue. Il est ainsi prévu que le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 32).

Remarque

Exemple : Google a été sanctionné par la CNIL d’une amende de 50 millions d’euros pour manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité. En effet, la Commission a estimé que le consentement des utilisateurs n’était pas suffisamment éclairé (impossibilité de prendre connaissance de la pluralité des services), spécifique (absence de consentement propre à chaque finalité du traitement) et univoque (case pré-cochée par défaut, alors que le consentement nécessite un acte positif clair) ( Délib. CNIL SAN-2019-001, 21 janv. 2019 ). Une sanction que le Conseil d’État a estimée proportionnée « eu égard à la gravité particulière des manquements commis et à la situation financière de la société » ( CE, 19 juin 2020, no 430810 ).

En pratique, cela signifie que tout organisme collectant des données à caractère personnel sur la base du consentement de la personne doit proposer des systèmes d’« opt-in » ou d’acceptation par acte positif parmi lesquels notamment :

  • une case à cocher (« opt-in ») ;
  • une action visant à cliquer pour permettre la collecte et le traitement de ses données ;
  • un champ libre dans lequel il est possible d’inscrire son adresse email et/ou toute autre information (par exemple pour s’inscrire à une newsletter), suivi par exemple d’un bouton « m’enregistrer », « m’inscrire », « valider », etc.

Remarque

Le consentement pouvant être retiré à tout moment – et lorsque c’est le cas, le responsable du traitement doit alors cesser de traiter les données –, il constitue une base juridique de traitement fragile. Lorsque c’est possible, il est recommandé au responsable du traitement de fonder son traitement sur une autre disposition de l’article 6 du RGPD ou de l’article 5 de la loi Informatique et libertés.

Point de vue de l’AFCDP

L’ordre des bases juridiques n’a pas de signification particulière. En particulier, le consentement n’est pas « meilleur » que les autres.

La nécessité de l’exécution d’un contrat auquel la personne concernée est partie

Il peut paraître peu évident de distinguer cette base juridique de celle du consentement de la personne concernée dès lors que, dans notre système juridique, le contrat nécessite le consentement de la personne concernée.

Or, le RGPD élargit un peu les situations dans lesquelles un traitement est nécessaire à l’exécution d’un contrat en indiquant que le traitement devrait être considéré comme licite lorsqu’il est nécessaire non seulement dans le cadre d’un contrat mais également de l’intention de conclure un contrat ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 44).

En outre, il faut rappeler que le consentement, s’il est libre, peut normalement être retiré à tout moment. Il est donc envisageable, dans les cas où les données sont initialement collectées et traitées à la fois sur le fondement du consentement et la nécessaire exécution d’un contrat, que le responsable du traitement continu de les traiter quand bien même la personne aurait retiré son consentement. Le responsable du traitement sera alors en mesure de poursuivre ce traitement pour les nécessités de l’exécution d’un contrat [cela est également le cas pour les autres bases juridiques, mais seulement si le traitement est initialement réalisé sur la base d’une ou plusieurs autre(s) base(s) juridique(s)].

La nécessité contractuelle dans les services en ligne

Le Comité européen de protection des données (CEPD) a adopté des lignes directrices sur le champ d’application de la nécessité contractuelle comme base légale dans le contexte des services en ligne de la société de l’information, et notamment son interaction avec les autres bases légales ( Lignes directrices du CEPD, 2/2019, 8 oct. 2019 ). Il a examiné l’applicabilité de la nécessité contractuelle à certains types de traitements :

  • Amélioration du service. Le CEPD remarque que, dans la plupart des cas, la collecte de données relatives à l’utilisation d’un service ne peut être regardée comme nécessaire à la fourniture d’un service, compte tenu du fait que ce service pourrait être fourni même en l’absence de traitement de ces données personnelles. Néanmoins, l’intérêt légitime du responsable de traitement ou le consentement des personnes concernées pourraient constituer des bases juridiques valables. Le CEPD estime que la nécessité contractuelle ne peut dès lors constituer une base juridique appropriée pour l’amélioration d’un service en ligne ou pour développer de nouvelles fonctionnalités dans un service déjà existant ;
  • Prévention de la fraude. Le CEPD souligne que le traitement à des fins de prévention de la fraude pourrait impliquer la surveillance et le profilage de clients. Pour le Comité, un tel traitement pourrait aller au-delà de ce qui est strictement nécessaire à l’exécution d’un contrat avec la personne concernée. Cependant, il considère que le traitement des données strictement nécessaires à la prévention de la fraude pourrait relever de l’intérêt légitime du responsable de traitement et pourrait dès lors constituer une base juridique adéquate, dans les conditions prévues à l’article 6, §1, f) du RGPD. Pour un tel traitement, le respect d’une obligation légale peut aussi constituer une base légale ;
  • Publicité comportementale en ligne. Le CEPD relève que la publicité comportementale en ligne est un procédé souvent utilisé dans le domaine de la fourniture de services financiers en ligne. Il considère que l’article 6, §1, b) du RGPD ne peut pas servir de base légale à la publicité comportementale en ligne car cette publicité finance indirectement la fourniture du service. Le Comité estime par ailleurs que le suivi et le profilage d’utilisateurs peuvent être effectués dans le but d’identifier des groupes d’individus avec des caractéristiques similaires, pour permettre la publicité ciblée à une même audience. Or un tel traitement ne peut avoir lieu sur le fondement de la nécessité contractuelle, car il n’est pas objectivement nécessaire à l’exécution du contrat avec l’utilisateur ;
  • Personnalisation des contenus. Le CEPD reconnaît que la personnalisation des contenus fait partie intégrante de la fourniture d’un service en ligne et pourrait être regardée comme nécessaire à l’exécution du contrat avec le client. Mais plusieurs critères sont à prendre en compte, tels que la nature du service fourni, les attentes de la personne concernée, et le fait que le service peut être fourni sans personnalisation. Lorsque la personnalisation n’est pas objectivement nécessaire à l’exécution du contrat, par exemple si elle ne fait pas partie intégrante de l’utilisation du service, les responsables de traitement devront envisager une base légale alternative.

Le respect d’une obligation légale à laquelle le responsable du traitement est soumis

Dans son avis sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE ( Avis du G29 no 06/2014 (WP217), 9 avr. 2014 ), le CEPD pose deux conditions cumulatives qui peuvent utilement être reprises sous l’empire du RGPD :

  • l’obligation doit avoir une origine légale (cela vise à notre sens les actes normatifs émanant de l’Union européenne et/ou d’un État membre) ;
  • l’obligation doit être explicite quant à la nécessité de réaliser un traitement.

Remarque

Exemple : cela peut concerner les traitements réalisés par les prestataires techniques tenus de conserver les données relatives à la création de contenu, en application du décret relatif à la conservation et à la communication des données permettant d’identifier tout personne ayant contribué à la création d’un contenu mis en ligne ( D. no 2021-1362, 20 oct. 2021: JO, 21 oct).

La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique

Le CEPD, dans son avis no 06/2014 précité, a précisé que les traitements entrant dans le champ de ce fondement se limitent à des considérations de vie ou de mort, ou à tout le moins à des menaces qui comportent un risque de blessure, ou une autre atteinte à la santé de la personne concernée.

Cela peut concerner par exemple des cas d’épidémie, des situations de catastrophe naturelle, etc.

L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement

Cela peut concerner aussi bien le secteur public que le secteur privé, dès lors que :

  • la personne est investie d’une mission de service public ;
  • ou que le traitement est nécessaire à l’exécution d’une mission de service public.

Le CEPD, dans son avis no 06/2014 précité, donne pour exemple la déclaration fiscale qui collecterait et traiterait la déclaration de revenus d’une personne afin d’établir ou de vérifier le montant de l’impôt à payer.

Les fichiers de police peuvent également reposer sur cette base juridique.

L’intérêt légitime du responsable de traitement

L’intérêt légitime du responsable de traitement est l’une des bases juridiques courantes d’un traitement de données à caractère personnel (après le consentement et l’exécution d’un contrat).

Il est toutefois utile de rappeler aux responsables du traitement que leur intérêt légitime ne peut constituer une condition de licéité d’un traitement que dans la mesure où ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Remarque

Même s’agissant d’un enfant, il a pu être admis que l’intérêt légitime d’un responsable de traitement prévaut sur celui de la personne concernée. Dans le cadre d’une demande d’effacement portant sur les données personnelles contenues dans un registre de baptêmes, le Conseil d’État a estimé que « l’intérêt qui s’attache, pour l’Église catholique, à la conservation des données personnelles relatives au baptême figurant dans le registre, doit être regardé comme un motif légitime impérieux, prévalant sur l’intérêt moral du demandeur à demander que ces données soient définitivement effacées ». Selon la Haute juridiction administrative, la nécessité de vérifier qu’une personne n’a été baptisée qu’une fois dans sa vie constitue ainsi un motif suffisant pour justifier un refus d’effacement ( CE, 2 févr. 2024, no 461093 ).

Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte de ses données, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 47).

Remarque

Exemple : dans l’affaire Google Spain, la CJUE relève que « dans la mesure où la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question, la Cour constate qu’il y a lieu de rechercher un juste équilibre notamment entre cet intérêt et les droits fondamentaux de la personne concernée, en particulier le droit au respect de la vie privée et le droit à la protection de données à caractère personnel. La Cour relève à cet égard que, si, certes, les droits de la personne concernée prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à recevoir cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique » ( CJUE, 13 mai 2014, aff. C-131/12 ).

La CJUE a précisé la notion d’intérêt légitime dans une affaire concernant la fédération de tennis néerlandaise. Celle-ci a transmis, à titre onéreux, des données personnelles des membres de ses associations affiliées à des sponsors qui ont fait de la prospection commerciale pour de l’équipement sportif et des jeux de hasard. Selon la cour, l’intérêt légitime peut consister en un intérêt commercial comme celui-ci, non prévu par la loi, dès lors qu’il n’est pas illicite. Cependant, cette base légale de traitement ne peut être invoquée qu’à condition d’être strictement nécessaire, et l’intérêt en question doit être suffisamment important pour justifier le traitement de données personnelles sans consentement ( CJUE, 4 oct. 2024, aff. C-621/22, Koninklijke Nederlandse Lawn Tennisbond ).

Vidéosurveillance au travail et intérêt légitime de l’employeur

Un autre exemple ressort de l’arrêt de la Cour européenne des droits de l’homme (CEDH) qui a estimé, à propos de caméras secrètes installées dans un supermarché pour surveiller des employés de caisse soupçonnés de vol, que l’intérêt légitime de l’employeur résidait dans « l’adoption de mesures pour découvrir les responsables des pertes constatées et de les sanctionner, dans le but d’assurer la protection de ses biens et le bon fonctionnement de l’entreprise. En l’espèce, la Cour de Strasbourg a tenu compte de la proportionnalité et de la légitimité de la mesure : « si elle ne saurait accepter que, de manière générale, le moindre soupçon que des détournements ou d’autres irrégularités aient été commis par des employés puisse justifier la mise en place d’une vidéosurveillance secrète par l’employeur, l’existence de soupçons raisonnables que des irrégularités graves avaient été commises et l’ampleur des manques constatés peuvent apparaître comme des justifications sérieuses » ( CEDH, 17 oct. 2019, aff. 1874/13 et 8567/13, Lopez Ribalda et autres c/ Espagne).

Point de vue de l’AFCDP

Même si cela n’est pas recommandé, il est possible d’avoir des bases légales différentes pour une même activité de traitement, pour des finalités spécifiques. Cependant, à partir du moment où le responsable de traitement a établi la base légale pour une ou plusieurs finalités de son traitement, il ne peut revenir en arrière et lui substituer une autre base juridique qui lui permettrait de se soustraire à certaines obligations.

Par exemple, le droit à la portabilité peut s’exercer uniquement lorsque le traitement est mis en œuvre sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée. Dès lors, un responsable de traitement ne pourrait faire valoir un changement de base légale pour s’opposer à l’exercice de ce droit par la personne concernée.

Ainsi, il est important pour les responsables de traitement de définir quelles finalités s’appliquent à quelles données, et quelle est la base juridique applicable.

Changement de finalité du traitement

Compatibilité avec la finalité initiale

Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre, le responsable du traitement doit déterminer s’il est compatible avec la finalité initiale. Il tient compte, entre autres (RGPD, art. 6, § 4) :

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées ;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Cette disposition a pour conséquence d’assouplir le principe de finalité posé à l’article 5 du RGPD, mais demeure néanmoins bien encadrée pour sauvegarder les droits des personnes concernées en imposant au responsable de traitement de procéder à un véritable test de compatibilité entre les finalités. En application du principe d’« accountability », il est par ailleurs recommandé de documenter et de conserver une trace de ce test de compatibilité.

Remarque

Un traitement ultérieur de données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées (L. n° 78-17, 10 janv. 1978, art. 4, 2o ).

Point de vue de l’AFCDP

Des données collectées sur la base du consentement par exemple ne peuvent être traitées ultérieurement pour des finalités dépassant l’étendue du consentement initial. Un nouveau traitement exige l’obtention d’un nouveau consentement ou une nouvelle base juridique.

Remarque

Exemple :

  • Finalité compatible : une compagnie d’assurance a un contrat avec un client. Celle-ci utilise ultérieurement les données à caractère personnel du client pour vérifier si un autre contrat correspond mieux à ses besoins. Elle lui transmet ainsi les informations exigées. Dans ce cas, cette nouvelle finalité est compatible avec la finalité initiale.
  • Finalité non compatible : une banque a un contrat de prêt avec un client. Elle souhaite partager ses données en s’appuyant sur ce contrat. Cette finalité n’étant pas compatible avec la finalité initiale du traitement, le consentement explicite du client doit être collecté.

Identification de la personne concernée

Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le RGPD (RGPD, art. 11, § 1).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
30,76 € TTC au lieu de 61,52 € TTC
Revue de jurisprudence de droit des affaires
Questions fréquemment posées

Quelles sont les principales conditions de licéité d’un traitement ?

Pour vérifier la licéité du traitement, il faut déterminer au cas par cas la base juridique du traitement, ainsi que sa finalité qui a une incidence sur les conditions à respecter. En règle générale, la personne concernée doit avoir consenti au traitement de ses données à caractère personnel pour cette finalité spécifique. Le consentement est parfois facultatif, notamment dans certains cas où le traitement est nécessaire à l’exécution d’un contrat, au respect d’une obligation légale ou à la sauvegarde d’intérêts vitaux (RGPD art. 6).

Peut-on utiliser des données à d’autres fins que celles prévues initialement ?

La finalité indique à quoi le fichier de données va servir et doit être définie en amont de la collecte des données. Seules les données adéquates et nécessaires pour atteindre la finalité du traitement doivent être recueillies. Ces données ne doivent pas ensuite être utilisées à des fins incompatibles avec celles définies initialement : cette compatibilité dépend notamment du lien entre la finalité initiale et à venir, du type de données, des éventuelles conséquences du traitement envisagé etc. Le responsable peut en principe utiliser les données à des fins statistiques ou de recherche scientifique sans procéder au test de comptabilité (RGPD article 5 § 1).

Les dernières actualités dans ce thème
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
Droit des affaires
Protection des données personnelles (RGPD)
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
28 oct. 2024