Selon le RGPD, un traitement licite nécessite une base juridique. Si le traitement comprend le type d’activités qui sont incluses dans la directive “vie privée et communications électroniques” (et dans le futur règlement “vie privée et communications électroniques”), les dispositions prises par ce nouvel outil s’appliqueront dès qu’il sera adopté. Un IdO doit pouvoir distinguer les différents individus utilisant le même système afin qu’ils ne puissent pas prendre connaissance des activités des autres sans une base juridique justifiant ce traitement (très probablement le consentement). La confiance entre les acteurs doit reposer sur l’authentification de chaque outil IdO avant la communication et l’accès aux données. La prévention de l’accès d’objets et d’utilisateurs non autorisés à un système peut renforcer la confidentialité, et donc la confiance des utilisateurs. La définition de la base juridique qui s’applique à ce traitement est donc essentielle, pour garantir la licéité du traitement. À l’heure actuelle, il existe plusieurs bases juridiques pour le traitement des données qui pourraient s’appliquer à l’IdO. Il s’agit du consentement, de l’exécution d’un contrat, de l’intérêt légitime et, bien sûr, de l’intérêt public, lorsque nous parlons de recherche scientifique et d’innovation.

Le projet de règlement ePrivacy^[1] considère le consentement comme la principale base légale du traitement des données dans le contexte des communications électroniques, une circonstance qui s’applique, par exemple, dans le cas des dispositifs IdO connectés au web. Toutefois, lorsqu’un responsable du traitement cherche à traiter des données à caractère personnel qui sont en fait nécessaires à l’exécution d’un contrat, alors le consentement n’est pas la base licite la plus recommandable et le traitement doit être fondé sur l’article 6, paragraphe 1, point b).

L’intérêt légitime, quant à lui, est la base juridique la plus souple pour le traitement, mais on ne peut pas supposer qu’il sera toujours le plus approprié. L’ICO a estimé qu’elle est probablement la plus appropriée lorsque les responsables du traitement utilisent les données des personnes d’une manière à laquelle elles s’attendent raisonnablement et qui a un impact minimal sur la vie privée, ou lorsqu’il existe une justification impérieuse pour le traitement.^[2] Toutefois, il se peut que les critères utilisés par les autorités chargées de la protection des données des États membres de l’UE soient très différents. Il est donc préférable de demander à votre DPD de se prononcer sur cette question.

Une question préliminaire : n’oubliez pas que le traitement des données des catégories spéciales est interdit !

Avant de traiter des données, les responsables du traitement doivent s’assurer qu’il ne s’agit pas de données de catégories particulières. Si ce n’est pas le cas, ils doivent se rappeler que l’article 9.1 du RGPD oppose son veto à un tel traitement, sauf si l’une des circonstances décrites à l’article 9.2 s’applique. En outre, les responsables du traitement doivent garder à l’esprit que la plupart de ces circonstances (le consentement est une exception) exigent que ce traitement soit effectué sur la base du droit de l’Union ou des États membres qui prévoit des mesures appropriées et spécifiques pour sauvegarder les droits et libertés de la personne concernée. Ces garanties peuvent être la pseudonimisation, le secret professionnel, voire des mécanismes plus complexes si un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale est prévu (voir article 46 du RGPD).

1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
2. ICO : Intérêts légitimes, à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/. ↑