Menu
01 88 24 26 70

Être rappelé(e)

Parce que les besoins de conformité diffèrent d’une structure à l’autre,
DATACY propose des solutions adaptées à votre organisation et à votre secteur d’activité.  

Votre devis en un clic

Menu

Demande de devis

01 88 24 26 70

Être rappelé(e)

Vous êtes ici : Accueil > Actualités > Le traitement de données personnelles fondé sur le contrat : implications et enjeux stratégiques

Le traitement de données personnelles fondé sur le contrat : implications et enjeux stratégiques

Le 23 octobre 2019
Le traitement de données personnelles fondé sur le contrat : implications et enjeux stratégiques

Eclairage à la lumière des lignes directrices publiés par le Comité Européen de la Protection des données le 8 octobre dernier.

Le choix d’une base légale appropriée pour le traitement de données personnelles relève bien souvent d’un casse-tête pour les responsables de traitement.

Sa détermination nécessite une réflexion globale concernant la collecte des données personnelles et les finalités poursuivies par le traitement de données personnelles concerné. Cela est d’autant plus important que le choix d’une mauvaise base légale constitue un traitement illicite de données personnelles.

De plus, la détermination de la base légale implique de nombreuses conséquences (sur l’étendue des droits accordés aux personnes concernés par exemple : portabilité, droit d’opposition…).

Le choix d’une base légale

Pour rappel, un traitement de données personnelles n’est licite que s’il est fondé sur l’une des 6 bases légales de l’article 6 du RGPD :

- Le consentement de la personne concernée ;
- Le traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou de mesures pré contractuelles prises à la demande de celle-ci ;
- Sur le fondement d’une obligation légale ;
- Nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
- Nécessaire aux fins des intérêts légitimes.
 

Comment choisir une base légale appropriée ?

Le choix d’une base légale s’opère de manière concrète, au regard des caractéristiques de chaque traitement concerné. Une analyse au cas par cas doit donc être menée en fonction de la finalité du traitement.

Dans le cas où un traitement de données rejoint plusieurs finalités, différentes bases légales peuvent être retenues en fonction de ces finalités.

Par exemple, un traitement de données peut être fondé sur le fondement de l’exécution contractuelle alors même que la conservation de ces mêmes données peut être fondée sur le fondement d’une obligation légale (par exemple pour le respect de lois nationales qui imposent une conservation de certains documents).

 

Le traitement de données personnelles dans le cadre de la fourniture de services en ligne peut soulever des difficultés pratiques pour les responsables de traitement.

En effet, l’exécution de ces prestations nécessite souvent la collecte de nombreuses données personnelles sans lesquelles les services ne pourraient être fournis ou les produits délivrés.

Si certains de ces services en ligne sont financés de manière « traditionnelle » contre paiement, de nombreux services en lignes sont également financés par de la publicité, souvent dans l’ignorance des utilisateurs finaux (« si c’est gratuit, c’est toi le produit »...) ; ce qui rend presque impossible pour la personne concernée d’exercer des choix éclairés sur l’utilisation de ses données (self-empowerment).

 

La validité des contrats objets de la base légale en question

Si le Comité n’empiète pas sur les sujets connexes de validité des contrats de services en ligne (clauses obscures, clauses abusives…), il rappelle fermement que ces derniers doivent être valables : c’est-à-dire respecter l’ensemble des dispositions légales (que ces dernières soient issues de normes nationales ou bien européennes afin de fonder une base légale valable pour un traitement de données personnelles).

Un contrat qui ne respecterait pas ces règles ne pourrait donc pas être considéré comme valable et entraînerait ainsi l’invalidité de la base légale. A noter que le contrat qui fonde le traitement de données personnelles n’est pas limité par les contrats régis par la loi d’un Etat-membre de l’Union européenne.

La légalité du fondement de la base légale doit être considérée dans le respect des grands principes directeurs du RGPD : transparence, loyauté, finalité, minimisation… Ces principes impliquent que la personne concernée puisse avoir des attentes raisonnables concernant les conséquences possibles sur le traitement de ses données personnelles. Le respect de ces principes est d’autant plus important que ces contrats de service en ligne ne sont généralement pas négociés avec les personnes concernées (contrats d’adhésion).

De plus, les responsables de traitement peuvent chercher à inclure de nombreuses conditions aux contrats afin de collecter le maximum de données personnelles possible. Ainsi, comme le G29 le soulignait déjà dans son avis 3/2013 sur la limitation de la finalité (WP 203), des termes vagues « améliorer l’expérience client », « pour des finalités marketing » et génériques ne sont pas conformes.

 

L’interaction avec les autres bases légales

Lorsqu’un traitement n’est pas considéré comme nécessaire pour l’exécution d’un contrat, le responsable de traitement doit choisir une base légale plus pertinente (par exemple le consentement ou encore les intérêts légitimes). Il convient de choisir la base légale la plus adaptée, toujours en prenant en considération les principes de loyauté et de finalité.

Contrat et consentement : attention à la confusion

Le responsable de traitement doit faire attention à ne pas créer de confusion entre ce qui relève du consentement pour la conclusion du contrat et le consentement pour le traitement de données.

Le cas particulier du traitement des données sensibles au contrat

En cas de traitement de données personnelles sensibles (ou particulières) à l’occasion d’un contrat, un problème se pose. Quelle est la base légale à ce traitement de données ?

Le Comité rappelle ce qu’énonçait le G29 précédemment dans ses lignes directrices WP259 sur le consentement, à savoir que les données sensibles ne pouvaient pas être traitées sur le fondement de l’article 6.1.b) (le contrat) et devaient nécessairement être traitées sur le fondement d’une autre base légale mentionnées à l’article 9 du RGPD.

Dans le cas où il n’existe pas d’autre base légale, le responsable de traitement devra de mettre en place une information et un recueil spécifique de ces catégories de données.

On pensera notamment aux services de types sites rencontres qui recueillent de nombreuses données très sensibles, qui ne sont pas strictement nécessaires à l’exécution du contrat et qui devraient faire l’objet d’un recueil spécifique du consentement des personnes concernées lors de l’inscription…

C’est notamment ce point qui a été soulevé par la République-Tchèque comme difficulté à l’occasion des retours des Etats membres dans le cadre des futures modifications du RGPD, dont vous pouvez lire notre résumé dans cet article.

 

Le traitement doit être nécessaire au contrat

Cette base légale ne peut donc être applicable que si le contrat est valide ET que le traitement de données personnelles est nécessaire à l’exécution du contrat.

Ainsi, le responsable de traitement doit être en mesure de démontrer :

- Qu’un contrat existe ;
- Qu’il est valide en vertu de la loi nationale applicable ;
- Que le traitement est objectivement nécessaire à l’exécution du contrat.
 

Si tel n’est pas le cas, le responsable de traitement devrait considérer une autre base légale pour son traitement.

Pour ce faire, le responsable de traitement doit déterminer le but principal du contrat, l’essence du contrat, ou encore du « lien » entre le contrat et le traitement de données personnelles. Ce fondement légal ne peut pas s’étendre artificiellement à l’ensemble des traitements qui concernent de prêt ou de loin le contrat et ce but doit être communiqué clairement à la personne concernée.

Ce qui est « nécessaire » s’entend non seulement du point de vue du responsable de traitement mais également du point de vue d’une  « personne concernée moyenne » afin qu’ils aient une compréhension réciproque de la finalité du contrat.

Afin de mener cette évaluation, le responsable de traitement peut se poser les questions suivantes :

- Quelle est la nature du service fourni à la personne concernée ? Quelles sont ses caractéristiques particulières ?
- Quelle est la justification exacte du contrat (c’est-à-dire sa substance ainsi que son objet fondamental ?)
- Quels sont les éléments essentiels du contrat ?
- Quelles sont les attentes mutuelles des parties au contrat ? Comment le service est promu à ou annoncé à la personne concernée ? Un utilisateur ordinaire du service peut-il s’attendre raisonnablement au traitement des données personnelles collectées pour l’exécution du service ?
 

Si, après ce test, l’évaluation montre que le traitement va au-delà de ce qui est objectivement nécessaire, le responsable de traitement devra choisir une autre base légale.

Les situations de « à prendre ou à laisser »

Le Comité relève que les responsables de responsables sont libres de créer leur modèle économique comme ils le souhaitent et proposent souvent de nombreuses options alors que les personnes concernées ne sont intéressées que par un service. Ils créent alors, de fait, des situations de « à prendre ou à laisser ».

Pourtant, en matière de protection des données, le choix de la base légale devra s’analyser traitement par traitement, service par service, pris séparément, en prenant en compte ce qui est objectivement nécessaire à l’exécution de chaque service que la personne concernée a souscrit. Ainsi, cette évaluation est susceptible de révéler que certains traitements ne sont pas nécessaires pour le service pris en tant que tel mais dans le cadre plus large du modèle économique du responsable de traitement.

La fin du contrat

A la fin de contrat, les données qui ne sont plus nécessaires à l’exécution de celui-ci doivent être supprimées. Le responsable de traitement doit ainsi anticiper le sort qui sera réservé aux données personnelles à la fin de la relation contractuelle

Dans le cas où il doit conserver les données pour se conformer à des obligations légales, il devra fonder ce traitement sur la base légale d’une conservation dans le cadre d'une obligation légale et cette information devra être communiquée clairement à la personne concernée avant tout traitement de ses données personnelles.

Les traitements nécessaires pour entreprendre des démarches avant la conclusion d’un contrat

Si un traitement de données personnelles peut être nécessaire dans le cadre de relations précontractuelles, il est nécessaire que la démarche émane de la personne concernée. Cette base légale ne couvre donc pas les opérations marketing non sollicitées, par exemple, ou encore des demandes au titre des obligations de KYC.