Payer pour l’accès/ demander le paiement : les questions juridiques
Home » RGPD » Principaux outils et actions » Créer ou obtenir l’accès à un ensemble de données » Payer pour l’accès/ demander le paiement : les questions juridiques

Si nous nous concentrons maintenant sur les ensembles de données individuels, et non sur les bases de données, nous ne devrions plus parler de droits sui generis, car le scénario serait totalement différent. Nous parlons maintenant de la vente/achat de données en tant que telles. Comme indiqué précédemment, cela n’est licite que si les données ne sont pas du tout des données à caractère personnel. Ainsi, les chercheurs qui souhaitent vendre les données collectées doivent rendre les ensembles de données anonymes avant de les vendre (voir “Identification”, “Pseudonymisation” et “Anonymisation”, dans la partie II, section “Concepts principaux”). En effet, les données anonymes ne sont pas soumises aux exigences du RGPD (comme décrit dans la section précédente).

Si l’anonymisation n’est pas possible, la question qui demeure est de savoir si l’accès aux données personnelles pourrait être accordé à un tiers à des fins commerciales ou si un chercheur pourrait avoir accès à une telle base de données en payant desfrais, via une licence d’utilisation des données ou le partage de la base de données entière. Cette question nécessite un examen attentif d’au moins les facteurs suivants :

  • La vente ou l’achat d’un accès à des données à caractère personnel est considéré comme un “traitement” au titre de l’art. 4, paragraphe 2, car il s’agit d’une forme de “diffusion” ou de mise à disposition de données à un tiers. Comme pour tous les autres types de traitement, les exigences du RGPD doivent être respectées ;
  • La base légale la plus courante pour le traitement dans un but autre que celui pour lequel les données personnelles ont été initialement collectées est le consentement de la personne concernée ou une loi de l’Union ou d’un État membre, qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder les objectifs visés à l’article 23, paragraphe 1,[1] ;
  • Si ces conditions ne s’appliquent pas (…) les responsables du traitement doivent, pour vérifier si le traitement pour une autre finalité est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, effectuer un test de compatibilité tel que décrit par l’article 29 WP[2] . Pour effectuer un tel test, les critères suivants doivent être pris en compte, entre autres (Art. 6(4)) :
    • Tout lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé (c’est ce qu’on appelle le “facteur de liaison”).
    • le contexte dans lequel les données ont été collectées, notamment en ce qui concerne la relation entre les personnes concernées et le responsable du traitement (le “facteur contextuel”)
    • la nature des données à caractère personnel, en particulier si des catégories particulières de données à caractère personnel sont traitées, par exemple des données biométriques (le “facteur données”)
    • les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées (le “facteur de conséquence”), c’est-à-dire la probabilité et la gravité des conséquences négatives qui pourraient survenir pour la personne concernée du fait du traitement ultérieur.
    • l’existence de garanties appropriées, qui peuvent inclure le cryptage ou la pseudonymisation (le “facteur de sauvegarde”), c’est-à-dire la manière dont les données pourraient être sécurisées

Tous ces facteurs sont nécessaires pour évaluer si la finalité du nouveau traitement est compatible avec la finalité du traitement actuel pour lequel les données ont été initialement recueillies. Plus le lien entre la finalité initiale et la finalité du nouveau traitement est étroit, et plus les conséquences négatives possibles sont faibles, plus il y a de chances que la transmission de la base de données soit licite. Toutefois, plusieurs des facteurs susmentionnés peuvent clairement être utilisés pour contester la licéité d’une divulgation non consentie d’une base de données, ce qui sera expliqué ci-après :

  • Si la divulgation n’est pas liée au projet initial (par exemple, si votre projet de recherche est terminé et que vous concluez ensuite que vous souhaitez monétiser les données), le facteur de lien n’est pas donné.
  • Le facteur contextuel peut être interprété comme indiquant que plus la finalité du traitement ultérieur est prévisible, c’est-à-dire évidente (du point de vue des personnes concernées), plus il est probable qu’elle sera jugée compatible avec la finalité initiale et donc licite en vertu de l’art. 6. Si les personnes concernées n’ont pas été informées que les données doivent être divulguées à un tiers et si les personnes concernées n’y ont pas consenti, le facteur contextuel jouera clairement contre la licéité du traitement.
  • Le facteur donnéespeut être interprété comme indiquant que plus les données sont sensibles, plus il est improbable que le traitement ultérieur (ici, la vente) soit jugé compatible avec la finalité initiale. En d’autres termes, si l’ensemble de données contient des catégories spéciales de données à caractère personnel, telles que des données biométriques ou des données concernant l’orientation sexuelle de la personne concernée, l’accès à des tiers ne peut se faire que si un motif légal pour un tel traitement s’applique, conformément à l’art. 9 du RGPD. L’art. 9 interdit le traitement de ces “catégories particulières”, sauf si des circonstances spécifiques, telles que le consentement explicite au traitement (art. 9, paragraphe 2, point a)), sont réunies.
  • Le facteur de conséquence suggère que l’impact potentiel de la vente de l’ensemble de données sur les personnes concernées doit être pris en compte pour déterminer si cette opération de vente est compatible avec les finalités initiales pour lesquelles les données ont été traitées. En général, les entreprises achètent des données pour élargir leur clientèle. Par conséquent, elles tenteront de contacter les personnes concernées pour leurs besoins commerciaux. Une telle interférence avec le droit à la vie privée du client est susceptible d’être considérée comme un “impact” significatif qui s’oppose à la licéité de la divulgation d’une base de données.
  • Le facteur de sauvegarde nécessite des considérations différentes. En général, plus les risques sont élevés pour les personnes concernées, plus les garanties doivent être fortes. Cela signifie que les données doivent être cryptées, protégées et pseudonymisées le mieux possible.

Par conséquent, avant de donner accès aux données à caractère personnel, la meilleure option est d’obtenir le consentement des personnes concernées ou de s’assurer qu’une loi de l’Union ou d’un État membre, qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder les objectifs visés à l’article 23, s’applique. En l’absence de l’une de ces circonstances, la licéité du traitement serait injustifiable.

Cela signifie également que des questions doivent être soulevées par les parties concernées et entre elles pour pouvoir passer le test de compatibilité. En outre, les contrats doivent soutenir le transfert entre les parties afin de garantir le respect des obligations légales de chacune d’entre elles.

Quelques exemples de test de traitement de la compatibilité

Un traitement supplémentaire est possible

Une banque a conclu un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données personnelles du client pour vérifier s’il peut bénéficier d’un meilleur type de prêt et d’un plan d’épargne. Elle en informe le client. La banque peut traiter à nouveau les données du client car les nouvelles finalités sont compatibles avec les finalités initiales.

La poursuite du traitement n’est pas possible

La même banque veut partager les données du client avec des compagnies d’assurance, sur la base du même contrat pour un compte bancaire et un prêt personnel. Ce traitement n’est pas autorisé sans le consentement explicite du client car la finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.[3]

 

  1. Voir l’article 6, paragraphe 4, du RGPD.
  2. A29WP, Avis 03/2013 sur la limitation de la finalité Adopté le 2 avril 2013 (WP 203). A l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (consulté le 27 mai 2020)
  3. Source : https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-RGPD/purpose-data-processing/can-we-use-data-another-purpose_en (adressé le 27 mai 2020)

 

Aller au contenu principal