Une organisation ne peut pas collecter et traiter des données personnelles de personnes physiques sans pouvoir justifier d’une base légale. Le consentement de la personne concernée est la plus connue, mais ce n’est pas la seule. En fait, le RGPD en énonce six : le consentement, le contrat, l’obligation légale, la protection des intérêts vitaux, la tâche d’intérêt public et l’intérêt légitime.
Le RGPD en bref
Le RGPD, entré en vigueur le 25 mai 2018, est une réglementation européenne qui harmonise les législations des états membres afin de protéger les droits des personnes physiques. Pour ce faire, il impose des obligations aux organisations et prévoit des sanctions à l’égard des contrevenants.
Il vise avant tout à protéger les données personnelles des individus d’une utilisation abusive par les organisations, notamment commerciales, mais pas seulement.
Le RGPD s’applique à toute organisation, publique et privée (entreprise, administration, collectivité, association, etc.). Il ne s’applique pas aux particuliers, sauf s’ils utilisent des données personnelles en dehors de leur » vie personnelle ou domestique « , par exemple en publiant sur les réseaux sociaux.
En France c’est la CNIL (Commission Nationale Informatique et Liberté) qui est chargée de la mise en place du RGPD et du contrôle de son application par les organisations.
Les bases légales
Il existe six bases légales sur lesquelles le traitement des données personnelles peut reposer. En dehors de ces 6 cas, il est interdit de collecter et d’utiliser des données personnelles.
1. Le consentement
Le consentement est l’une des bases les plus courantes, mais aussi l’une des plus réglementées. Il s’agit de l’acceptation par la personne concernée de la collecte et du traitement de ses propres données personnelles.
2. Le contrat
Cette base légale peut être invoquée lorsque le traitement des données est nécessaire pour l’exécution d’un contrat. Il faut bien sûr que l’entreprise s’assure que les données collectées sont strictement liées à la prestation de service.
Exemple : lorsqu’un client a commandé sur un site web, la collecte d’informations de paiement pour finaliser la transaction est justifiée par le contrat.
3. l’obligation légale
Lorsqu’une loi exige la collecte ou le traitement de certaines données, cela constitue une base légale.
Exemple : pour rédiger un contrat de travail ou éditer une feuille de paie, il est nécessaire de collecter des données personnelles. Cette collecte doit également être limitée aux éléments strictement nécessaires au traitement.
4. La protection des intérêts vitaux
Le traitement des données peut être justifié pour protéger les intérêts vitaux d’une personne. Cela peut s’appliquer par exemple dans des situations d’urgence médicale ou de sécurité.
Exemple : Un hôpital peut traiter des données de santé (qui , parmi les données personnelles sont des données sensibles) si le patient est dans l’incapacité de donner son consentement.
5. La tâche d’intérêt public
Cette base s’applique aux administrations publiques et aux organismes agissant dans l’intérêt public qui peuvent collecter et traiter des données personnelles dans le cadre de leur mission.
Exemple : La police peut collecter et traiter des données personnelles (informations sur les mouvements des individus, les communications électroniques, etc.) dans le cadre de la lutte contre le terrorisme par exemple et ce, sans le consentement des individus concernés.
On voit bien le danger de cette base légale pour la liberté individuelle. L’application de la base légale « tâche d’intérêt public » est donc strictement réglementée, et les autorités publiques doivent démontrer que la collecte et le traitement des données sont nécessaires et proportionnés à l’objectif d’intérêt public en question.
La CNIL est très attentive à ce que l’administration respecte des mesures de sécurité et de confidentialité pour protéger les données personnelles et à garantir qu’elles ne sont pas utilisées de manière abusive.
Exemple : La CNIL s’est prononcée le vendredi 8 mai 2020 sur un projet de décret encadrant deux fichiers, SI-DEP et Contact Covid utilisés dans le cadre du dépistage du Covid-19. Leur objectif était de déterminer qui a pu être contaminé par une personne testée positive. Elle a demandé que le décret soit précisé sur plusieurs points pour minimiser les données, imiter les accès aux traitements au strict nécessaire et garantir les droits des personnes sur leurs données personnelles.
6. L’intérêt légitime
Une organisation peut traiter des données personnelles si elle estime que le traitement est justifié par son intérêt « légitime », dans le strict respect des droits et intérêts de la personne. Le recours à cette base légale est bien évidemment tentant pour les organisations qui n’ont pas recueilli le consentement. La CNIL précise donc bien que « Le recours à cette base légale suppose que les intérêts poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. (…) L’intérêt légitime ne peut donc pas être considéré comme une base légale « par défaut » : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse » (CNIL.fr). Il est préférable notamment d’effectuer une analyse d’impact sur la protection des données (AIPD) si on envisage de s’appuyer sur l’intérêt légitime.
Exemple : Un site peut utiliser des cookies pour améliorer l’expérience utilisateur en veillant à ce que cela ne porte pas atteinte aux droits des visiteurs. On peut installer un dispositif de vidéosurveillance en invoquant l’intérêt légitime d’assurer la sécurité de son personnel et de ses biens. Dans tous ces cas, l’organisme doit être en capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement.
Pour ce qui concerne l’activité commerciale, trois bases légales sont utilisables : le consentement bien sûr (obligatoire dans la plupart des cas), le contrat pour les données complémentaires au traitement d’un panier ou d’une commande et l’intérêt légitime de l’entreprise.
Pour les cookies et le cas de la prospection commerciale, voir l’article : Le recueil du consentement
Patrick Roussel
Professeur agrégé d'économie et gestion, auteur et coordinateur d'ouvrages de BTS MCO et NDRC aux éditions Foucher. Patrick Roussel Communication accompagne les établissements d'enseignement et les associations dans leur évolution vers le digital.