Articles et récitals connexes
Home » RGPD » Principes » Licéité, loyauté et transparence » Articles et récitals connexes

Licéité

La définition de la licéité est donnée à l’art. 6(1) duRGPD. Elle se lit comme suit :

Le traitement n’est licite que si et dans la mesure où au moins une des conditions suivantes s’applique :

  1. les personnes concernées ont donné leur consentement au traitement de leurs données personnelles pour une ou plusieurs finalités spécifiques ;
  2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée préalablement à la conclusion d’un contrat ;
  3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  6. le traitement est nécessaire aux finalités des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

Le premier alinéa, point f), ne s’applique pas aux traitements mis en œuvre par les autorités publiques dans l’exercice de leurs missions.

Alors que les finalités du traitement doivent être spécifiques et explicites (voir art. 5(1)(b), et donc également suffisamment étroites et spécifiques, les finalités ci-dessus sont clairement des catégories de finalités. (Lorsque le mot finalité a été utilisé explicitement, il est donc écrit en italique). Elles sont communément appelées bases légales[1] et sont référencées par leur position dans l’article 6 ; par exemple, le consentement serait alors la base légalede l’art. 6(1)(a).

Le RGPD prévoit deux articles qui énoncent des exigences supplémentaires en matière de licéité pour deux cas différents : les données sensibles et les données relatives aux condamnations pénales. Il s’agit en particulier des articles suivants :

L’art. 9 du RGPDstipule que le traitement de données particulièrement sensibles est en principe interdit et énumère 10 exceptions à cette règle. Ces exceptions ont une structure comparable à celle des bases légales de l’art. 6. L’article précise que les données sont particulièrement sensibles, si elles révèlent :

  • l’origine raciale ou ethnique,
  • les opinions politiques,
  • les croyances religieuses ou philosophiques,
  • l’adhésion à un syndicat,

ou sont :

  • les données génétiques,
  • des données biométriques dans le but d’identifier de manière unique une personne physique,
  • des données concernant la santé, ou
  • les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Pour ces données, des exigences plus strictes s’appliquent afin que leur traitement soit considéré comme licite. Par exemple, au lieu du simple consentement de l’art. 6(1)(a), le traitement de ces données sensibles requiert un niveau de consentement plus exigeant appelé consentement explicite (voir l’art. 9(2)(a) du RGPD).

Comme l’art. 9 pour les données particulièrement sensibles, l’art. 10 du RGPDrestreint davantage le traitement des “données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes”. En particulier, pour être licite, le traitement doit être “effectué uniquement sous le contrôle de l’autorité publique ou lorsqu’il est autorisé par le droit de l’Union ou des États membres, moyennant des garanties appropriées pour les droits et libertés des personnes concernées”.

Il existe plusieurs articles et considérants dans le RGPD qui précisent le concept de consentement (de l’art. 6(1)(a) du RGPD) de manière plus détaillée. Les plus importants sont les suivants :

  • L’art. 4(11) qui définit le consentement ;
  • L’art. 7 qui énumère les conditions du consentement
  • L’art. 8 qui régit les conditions applicables au consentement de l’enfant en ce qui concerne les services de la société de l’information.

Considérant que le consentement est un concept complexe, le Conseil européen de la protection des données a publié des lignes directrices 05/2020 faisant autorité sur le consentement en vertu du règlement 2016/679[2] .

Outre le consentement, la notion d’intérêt légitime poursuivi par le responsable du traitement (de l’art. 6(1)(f) du RGPD) est difficile à comprendre pleinement. Ce qui est crucial ici, c’est la restriction “sauf si ces intérêts sont supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée”. Cela signifie que l’intérêt légitime du responsable du traitement doit être mis en balance avec les intérêts des personnes concernées. Pour déterminer si tel est le cas, le responsable du traitement doit procéder à un “test de mise en balance”. La manière de procéder est décrite dans la section “Principaux outils et actions” de la partie II des présentes lignes directrices. Elle se fonde principalement sur l’avis 06/2014 du groupe de travail Article 29, qui fait autorité, sur la notion d’intérêt légitime du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE[3] . Bien que cet avis soit fondé sur la directive sur la protection des données qui a précédé le RGPD, il est en général applicable à l’interprétation de l’art. 6(1)(f) du RGPD. Il est recommandé pour une lecture complémentaire sur le sujet.

Loyauté

On peut dire que l’ensemble du RGPD concerne la loyauté. Voici quelques articles du RGPD qui l’illustrent particulièrement bien.

Un domaine où la loyauté est évidente concerne les exigences de transparence. Ici, l’art. 12(1) stipule que les responsables du traitement doivent fournir les informations “à la personne concernée sous une forme concise, transparente, intelligible et aisément accessible, en utilisant un langage clair et simple, en particulier pour toute information destinée spécifiquement à un enfant.” De toute évidence, cela interdit la pratique déloyale consistant à fournir les informations requises sous une forme inaccessible aux personnes concernées.

De même, le consentement ne peut pas être implicite, mais nécessite plutôt une “déclaration ou une action positive claire” (voir l’art. 4(11) duRGPD). Le même article précise en outre que le consentement doit être donné librement, spécifique, éclairé et sans ambiguïté“. En outre, à tout moment, sans besoin de justification, une personne concernée doit pouvoir retirer son consentement aussi facilement qu’il a été donné. Ces exigences strictes en matière de consentement interdisent directement de nombreuses pratiques manipulatrices, notamment le “nudging”[4] des personnes concernées.

Plusieurs droits des personnes concernées peuvent être directement associés à la loyauté. Il s’agit notamment de :

  • Le droit de rectification (article 16 du RGPD) pour éviter que les personnes concernées ne subissent des conséquences négatives en raison de données inexactes ;
  • Le droit à la limitation du traitement (article 18 du RGPD) qui empêche les responsables du traitement d’utiliser davantage les données qui ont été signalées comme étant inexactes ou se rapportant à un traitement auquel la personne concernée s’est opposée ;
  • Le droit à la portabilité des données (article 20 du RGPD) qui permet d’éviter les situations de verrouillage et une éventuelle perte (par exemple, d’investissement[5] ) lorsque les utilisateurs changent de relation avec le responsable du traitement ;
  • Le droit d’opposition (art. 21 du RGPD) lorsque, dans le cas d’une base légale de l’art. 6(1)(f) duRGPD, les personnes concernées peuvent présenter leurs situations spécifiques dans lesquelles leur intérêt prévaut sur les intérêts légitimes du responsable du traitement ;
  • Le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé (art. 22duRGPD), qui prévoit également le droit d’obtenir une intervention humaine de lapart du responsable du traitement (voir paragraphe 3).

Une autre indication de la loyauté est que le responsable du traitement doit prendre en considération le point de vue des personnes concernées. Cela est par exemple évident dans le considérant 50 du RGPD qui exige de prendre en compte les attentes raisonnables des personnes concernées lorsqu’il s’agit de déterminer si une finalité est compatible avec l’art. 6(4). Cela apparaît également dans les analyses d’impact sur la protection des données (article 35 du RGPD), où les responsables du traitement doivent, le cas échéant, demander l’avis des personnes concernées ou de leurs représentants (article 35, paragraphe 9, du RGPD).

Transparence

Plusieurs articles du RGPD apportent des précisions sur le principe de transparence. Il s’agit notamment des articles suivants :

  • Les articles 12 à 14 décrivent en détail les informations que les responsables du traitement doivent fournir d’emblée aux personnes concernées.
  • L’art. 15 décrit les informations qui doivent être fournies sur demande des personnes concernées, y compris l’accès complet à leurs données.
  • L’art. 34 décrit comment les personnes concernées doivent être informées des violations de données, lorsque celles-ci sont susceptibles d’entraîner un risque élevé.
  • L’art. 38(4) désigne le délégué à la protection des données du responsable du traitement comme point d’accès pour les personnes concernées.
  • Les art. 12 et 19 décrivent les informations que les responsables du traitement doivent fournir aux personnes concernées qui exercent un de leurs droits.
  • Les art. 30 – Registres de traitementet 35 –Analyse d’impact sur la protection des données décrivent les informations qui doivent être fournies aux autorités de contrôle. (Ces dernières uniquement si le traitement est susceptible d’entraîner un risque élevé).
  • L’art. 58(1) précise comment les responsables du traitement doivent être transparents vis-à-vis des autorités de contrôle en étant responsables (point a), en autorisant les inspections et les audits (point b) et en donnant accès à leurs locaux (point f).
  • L’art. 33 décrit la notification des violations aux autorités de contrôle.

Compte tenu de l’importance de la transparence dans le RGPD, le Conseil européen de la protection des données a fourni une interprétation faisant autorité des obligations connexes dans ses Lignes directrices sur la transparence en vertu du règlement 2016/679 (wp260rev.01)[6] . La lecture de ce document est recommandée.

 

 

  1. Le terme “base légale” est largement utilisé dans le RGPD et est recommandé ici comme terme préférentiel. Alternativement, le RGPD contient également le terme legal ground. Dans la littérature, le terme base juridique est également utilisé.
  2. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, Adopté le4 mai2020, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en (dernière visite le 22/05/2020).
  3. Groupe de travail Article 29 sur la protection des données, 844/14/FR, WP217, Avis 06/2014 sur la notion d’intérêt légitime du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE, adopté le 9 avril 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (dernière visite le 22/05/2020).
  4. Voir par exemple, Weinmann, M., Schneider, C. & Brocke, J.v. Digital Nudging. Bus Inf Syst Eng 58, 433-436 (2016). https://doi.org/10.1007/s12599-016-0453-1 (dernière visite le 22/05/2020).
  5. La collection de photos personnelles est un bon exemple de perte d’investissement possible.
  6. EDPB, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 (dernière visite le 22/05/2020).

 

Aller au contenu principal