Parfois, les données peuvent être traitées sur la base de l’article 6.1(b) du RGPD :
le traitement des données à caractère personnel est licite lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie. La portée de cette base juridique est limitée par le critère de “nécessité”, qui exige un lien direct et objectif entre le traitement lui-même et les finalités de l’exécution contractuelle attendue de la personne concernée. En effet, cette base juridique ne légitime que les traitements qui sont effectivement nécessaires à ce but. Au contraire, si le traitement n’est pas effectivement nécessaire à l’exécution d’un contrat, ce traitement ne peut avoir lieu que s’il repose sur une autre base juridique appropriée.^[1]

Ainsi, l’idée de nécessité est clé pour déterminer si cette base juridique est applicable au traitement ou non. L’EDBP a adopté en 2019 ses lignes directrices sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, qui sont particulièrement pertinentes pour cette question.^[2] Selon ces lignes directrices, l’utilisation des données pourrait être nécessaire à l’exécution d’un contrat avec une personne concernée, ou afin de prendre des mesures précontractuelles à la demande d’une personne concernée.

Il est important de noter que le concept de ce qui est “nécessaire à l’exécution d’un contrat” n’est pas simplement une évaluation de ce qui est permis par ou écrit dans les termes d’un contrat. Le concept de nécessité implique plusieurs exigences.

• Premièrement, le sous-traitant doit identifier la finalité concrète du traitement, car dans le cadre d’une relation contractuelle, il peut y avoir une variété de finalités de traitement et toutes ne sont pas nécessaires à l’exécution d’un contrat ou pour effectuer des démarches précontractuelles. Ainsi, les finalités concrètes à légitimer via cette base juridique doivent être clairement spécifiques et communiquées à la personne concernée, conformément aux obligations de limitation des finalités et de transparence du responsable du traitement. Si, par exemple, ces finalités sont nécessaires à d’autres fins commerciales du responsable du traitement, mais pas à l’exécution spécifique du contrat avec la personne concernée, elles pourraient être légitimes en vertu de la base juridique de l’intérêt légitime ou du consentement, mais pas en vertu de l’exécution d’un contrat. En outre, bien entendu, il arrive que le traitement ne soit couvert par aucune base juridique et doive donc être évité.
• Deuxièmement, il faut garder à l’esprit que trois conditions principales doivent être remplies pour évaluer que cette base juridique s’applique dans un contrat concret, à savoir : (a) un contrat existe, (b) le contrat est valable en vertu du droit national des contrats applicable, et (c) le traitement est objectivement nécessaire à l’exécution du contrat. Cette dernière partie est particulièrement importante : objectivement nécessaire signifie que ce besoin est lié à “une finalité qui fait partie intégrante de la fourniture de ce service contractuel à la personne concernée”. Le traitement des données de paiement pour la facturation du service en fait partie. Le responsable du traitement doit être en mesure de démontrer comment l’objet principal du contrat spécifique avec la personne concernée ne peut, en fait, être réalisé si le traitement spécifique des données à caractère personnel en question n’a pas lieu. Le point important ici est le lien entre les données à caractère personnel et les opérations de traitement concernées, et l’exécution ou la non-exécution du service fourni dans le cadre du contrat.” ^[3] En d’autres termes, le fait que le traitement des données à caractère personnel soit inclus comme une obligation dans un contrat ne le rend pas “nécessaire à l’exécution d’un contrat” au sens de la législation sur la protection des données. Ainsi, si le responsable du traitement introduit dans le contrat une condition qui oblige la personne concernée à autoriser le traitement, même si ce traitement n’est pas strictement nécessaire à l’exécution du contrat, la base juridique n’est pas applicable à ce scénario. S’il existe des alternatives réalistes et moins intrusives, le traitement n’est pas “nécessaire”.” ^[4]
• Enfin, les responsables du traitement doivent toujours se rappeler que les principes de limitation de la finalité et de minimisation des données sont particulièrement pertinents lorsqu’un responsable du traitement utilise “l’exécution d’un contrat” comme base juridique du traitement des données, car les contrats de services en ligne (qui sont les services typiques liés aux dispositifs IdO) ne sont généralement pas négociés sur une base individuelle.

Encadré 5 : Le profilage peut-il être considéré comme nécessaire à l’exécution d’un contrat ? L’EDPB a reconnu que la personnalisation du contenu peut constituer un élément essentiel ou attendu de certains services, et peut donc être considérée comme nécessaire à l’exécution du contrat avec l’utilisateur du service dans certains cas. La question de savoir si un tel traitement peut être considéré comme un aspect intrinsèque d’un service dépendra de la nature du service fourni, des attentes de la personne concernée moyenne à la lumière non seulement des conditions de service mais aussi de la manière dont le service est promu auprès des utilisateurs, et de la possibilité de fournir le service sans personnalisation. Lorsque la personnalisation du contenu n’est pas objectivement nécessaire à l’objectif du contrat sous-jacent, par exemple lorsque la livraison de contenu personnalisé est destinée à accroître l’engagement de l’utilisateur envers un service mais ne fait pas partie intégrante de l’utilisation du service, les responsables du traitement des données doivent envisager une autre base légale, le cas échéant. Au contraire, la publicité comportementale et le suivi et le profilage associés des personnes concernées ne peuvent pas être fondés sur l’exécution d’une base juridique contractuelle, pas même lorsque cette publicité finance indirectement la fourniture du service. Ce traitement est distinct de la finalité objective du contrat entre l’utilisateur et le prestataire de services, et n’est donc pas nécessaire à l’exécution du contrat en question. Par conséquent, les responsables du traitement doivent utiliser d’autres bases juridiques telles que le consentement ou l’intérêt légitime s’ils souhaitent procéder de cette manière. Source : Lignes directrices 2/2019 de l’EDPB sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées Adoptées le 9 avril 2019, à l’adresse : https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf.

Liste de contrôle : exécution d’un contrat ☐ Les responsables du traitement sont en mesure de démontrer que, après avoir évalué les circonstances en jeu, ils ont conclu que l’exécution d’un contrat est la base juridique la plus appropriée pour le traitement. ☐ Les responsables du traitement peuvent démontrer que le traitement est objectivement nécessaire à l’exécution du contrat. A cette fin, ils ont répondu à ces questions : Quelle est la nature du service fourni à la personne concernée ? Quelles sont ses caractéristiques distinctives ? Quelle est la raison d’être exacte du contrat (c’est-à-dire sa substance et son objet fondamental) ? Quels sont les éléments essentiels du contrat ? Quelles sont les perspectives et les attentes mutuelles des parties au contrat ? Comment le service est-il promu ou annoncé à la personne concernée ? Un utilisateur ordinaire du service s’attendrait-il raisonnablement à ce que, compte tenu de la nature du service, le traitement envisagé ait lieu afin d’exécuter le contrat auquel il est partie ? ☐ Les responsables du traitement ont informé les personnes concernées de la nécessité de traiter leurs données sur cette base juridique. ☐ Si des catégories spéciales de données doivent être traitées, les responsables du traitement ont identifié une exception au veto inclus dans l’article 9.1 duRGPD à l’article 9.2. ☐ Lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci. ☐ Les responsables de traitement n’étendent pas cette base juridique au traitement des données qui ne sont pas strictement nécessaires à l’exécution du contrat. ☐ Les responsables de traitement sont conscients que l’inclusion d’une condition pour signer le contrat qui implique un traitement de données ne justifie pas que ce traitement soit nécessaire à l’exécution du contrat.

 

1. Lignes directrices du groupe de travail Article 29 sur le consentement au titre du règlement 2016/679 (WP259), approuvées par l’EDPB, page 19. ↑
2. Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées Adoptées le 9 avril 2019, à l’adresse : https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf. ↑
3. Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées Adoptées le 9 avril 2019, à l’adresse : https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf. ↑
4. Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées Adoptées le 9 avril 2019, à l’adresse : https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf. ↑