Description
Home » RGPD » Principes » Licéité, loyauté et transparence » Description

Dans le document “Comprendre la protection des données : le règlement européen en quelques mots” ci-dessus, la plupart des propriétés requises dans ce principe ont été examinées en termes d’équilibre du pouvoir entre le responsable du traitement et les personnes concernées. Ces éléments sont résumés dans ce qui suit : Tant la licéité que la légitimité des finalités est présentée comme une condition préalable à l’autorisation du traitement. Voir “Pour quelles finalités le traitement est-il autorisé”. La loyautén’a pas été abordée dans l’introduction. On peut soutenir qu’en équilibrant le pouvoir entre le responsable du traitement et les personnes concernées, l’ensemble du RGPD concerne la loyauté. La transparence a été présentée comme une condition préalable à la responsabilité. Voir “Les responsables du traitement sont pleinement responsables” pour plus de détails.

Le RGPD définit ce principe comme suit :

Définition de l’art. 5(1)(a) du RGPD:

Les données à caractère personnel sont traitées de manière licite, équitableet transparente à l’égard de la personne concernée (“licéité, loyauté et transparence“) ;

La licéité, la loyauté et la transparence sont examinées plus en détail dans les paragraphes qui suivent.

Condition préalable à la licéité : des objectifs précis et explicites

La licéité est une exigence pour les finalités du traitement[1] . Il est donc impossible de raisonner à son sujet sans connaître au préalable les finalités précises qui sont poursuivies par le traitement. Pour cette raison, l’exigence de l’art. 5, paragraphe 1, point b), selon laquelle les finalités doivent être précisées et explicites, est examinée ici en tant que condition préalable :

Les données à caractère personnel sont collectées pour des finalités spécifiques, explicites et légitimes.

Finalités spécifiques :

Le groupe de travail Article 29 sur la protection des données écrit[2] :

“La spécification de la finalité est au cœur du cadre juridique établi pour la protection des données à caractère personnel. Afin de déterminer si le traitement des données est conforme à la loiet d’établir quelles garanties en matière de protection des données doivent être appliquées, il est indispensable d’identifier la ou les finalités spécifiques pour lesquelles la collecte de données à caractère personnel est requise.”

La spécification peut être considérée comme la première tâche de la conceptualisation d’une activité de traitement qui guide toutes les décisions ultérieures, notamment :

  • si le traitement est permis, c’est-à-dire licite et légitime,
  • ce qu’implique la mise en œuvre du traitement nécessaire à la réalisation des finalités, et
  • quelles garanties en matière de protection des données doivent être appliquées.

Le groupe de travail déclare en outre :[3]

“La finalité de la collecte doit être clairement et spécifiquement identifiée : elle doit être suffisamment détaillée pour déterminer quel type de traitement est et n’est pas inclus dans la finalité spécifique, et pour permettre que le respect de la loi soit évalué et que des garanties de protection des données soient appliquées.”

et

“Pour ces raisons, une finalité vague ou générale, comme par exemple “l’amélioration de l’expérience des utilisateurs”, “des fins de marketing”, “des fins de sécurité informatique” ou “des recherches futures “ne répondra généralement pas – sans plus de détails – aux critères de spécificité.

Des objectifs explicites :

Le groupe de travail déclare en outre :[4]

“Les données à caractère personnel doivent être collectées pour des finalités explicites. Les finalités de la collecte ne doivent pas seulement être précisées dans l’esprit des personnes responsables de la collecte des données. Elles doivent également être rendues explicites. En d’autres termes, elles doivent être clairement révélées, expliquées ou exprimées sous une forme intelligible.”

Notez que l’obligation de rendre les finalités explicites est étroitement liée à l’information des personnes concernées sur les finalités du traitement (voir art. 13(1)(c) et 14(1)(c) du RGPD).

Sur la base de la condition préalable de la spécification des finalités explicites, la légitimité et la licéité peuvent être discutées.

Légitimité et légalité

Alors que l’art. 5(1)(a) du RGPD ne parle que de licéité, l’exigence étroitement liée de légitimité est énoncée à l’art. 5(1)(b) du RGPD. Étant donné que tous deux expriment des exigences concernant les finalités du traitement, ils sont examinés ici ensemble.

L’art. 5(1)(b) du RGPD stipule :

Les données à caractère personnel sont collectées pour des finalités spécifiques, explicites et légitimes et […]

Le RGPD ne fournit pas de définition de la légitimité, mais le groupe de travail Article 29 sur la protection des données fournit la suivante :[5]

L’exigence de légitimité signifie que les objectifs doivent être “conformes à la loiau sens le plus large. Cela inclut toutes les formes de droit écrit et de common law, la législation primaire et secondaire, les décrets municipaux, les précédents judiciaires, les principes constitutionnels, les droits fondamentaux, les autres principes juridiques, ainsi que la jurisprudence, telle que cette “loi” serait interprétée et prise en compte par les tribunaux compétents.

La légitimité est donc une exigence très large. Cela devient encore plus significatif si l’on considère que certaines législations, telles que le règlement sur les essais cliniques[6] , incluent également des exigences éthiques. Mais même lorsque l’éthique n’est pas prescrite par la loi, il existe un risque que des finalités clairement contraires à l’éthique soient considérées comme également illégitimes. Ce peut être le cas, par exemple, lorsque le traitement a lieu au mépris de la désapprobation d’un comité d’éthique de la recherche.

Contrairement à la légitimité, la licéité est en effet définie dans le RGPD. L’art. 6(1) du RGPD est ainsi rédigé :

Le traitement n’est licite que si et dans la mesure où au moins une des conditions suivantes s’applique : […]

Dans l’omission représentée par […], six bases dites légalespossibles sont énumérées. Elles peuvent être considérées comme des catégories de finalités. Elles sont décrites plus en détail dans la section ” considérants connexes”ci-dessous.

Loyauté

On peut dire que l’ensemble de la protection des données, et donc le RGPD, concerne la loyauté envers les personnes concernées. Le RGPD peut être considéré comme précisant ce que signifie réellement et concrètement la loyauté.

Sa mention explicite en tant que principe peut donc être considérée comme une “clause de repli” pour le cas où une exigence concrète de loyauté n’a pas été explicitement énoncée dans le RGPD. Même dans ce cas, le principe de loyautéempêcherait toute “faille” dans le RGPD.

Bien que l’on puisse considérer que l’ensemble du RGPD concerne la loyauté, la section ” considérants connexes” ci-dessous donne quelques exemples où la loyauté est particulièrement évidente.

Transparence

La transparence est un concept bien compris et constitue une condition préalable essentielle à la responsabilisation dans le cadre du RGPD. L’objectif principal de la transparence est d’informer les personnes concernées dès le départ[7] de l’existence du traitement et de ses principales caractéristiques. D’autres informations (telles que les données relatives à la personne concernée) sont disponibles sur demande. Les personnes concernées doivent également être informées de certains événements, notamment des violations de données (dans le cas où la personne concernée est exposée à un risque élevé). La transparence est également soutenue par la désignation par les responsables du traitement d’un délégué à la protection des données qui fait office de point de contact unique pour les préoccupations des personnes concernées. Dans le RGPD, les personnes concernées sont habilitées à être les principaux gardiens de leurs propres droits et libertés. De toute évidence, la transparence est une condition préalable à la détection et à l’intervention en cas de non-conformité.

Les autorités de contrôle, comme leur nom l’indique, sont également les gardiennes du respect du RGPD, même si leur intervention est souvent déclenchée par des plaintes déposées par des personnes concernées[8] . Il existe des exigences de transparence pour les responsables du traitement qui visent spécifiquement les contrôleurs, notamment les registres de traitement (voir “Documentation du traitement” dans la section “Principaux outils et actions” de la partie II) et les analyses d’impact sur la protection des données (voir la section du même nom dans “Principaux outils et actions”, partie II des présentes lignes directrices). Le fait que les responsables du traitement soient responsables[9] devant les autorités de contrôle et qu’ils doivent permettre des enquêtes et des audits sur place [10][11] renforce la transparence.

 

 

  1. Il n’entre pas dans le cadre du présent document de fournir une analyse juridique approfondie de la notion de finalité au-delà de sa signification dans le langage courant. Il convient simplement de souligner que les finalités du traitement sont généralement liées à un objectif que le responsable du traitement poursuit. Ces objectifs doivent être concrets (plutôt que théoriques) et il est souvent possible de déterminer si l’objectif a été atteint ou de mesurer dans quelle mesure il l’a été.
  2. Surlignage ajouté par l’auteur, pour la citation, voir page 15 de : Groupe de travail Article 29 sur la protection des données, 00569/13/FR, WP203, Avis 03/2013 sur la limitation de la finalité, adopté le 2 avril 2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (dernière visite le 27/05/2020).
  3. WP203, page 15, surlignage ajouté par l’auteur.
  4. WP203, page 17, surlignage ajouté par l’auteur.
  5. WP203, page 20, , surlignage ajouté par l’auteur.
  6. RÈGLEMENT (UE) n° 536/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE, https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-1/reg_2014_536/reg_2014_536_en.pdf (dernière visite le 27/05/2020).
  7. L’expression “en amont” signifie que les personnes concernées doivent être informées du traitement avant qu’il n’ait lieu. Elle n’implique pas une certaine méthode de fourniture d’informations et n’exclut pas les moyens dynamiques de fournir les informations nécessaires.
  8. Voir l’art. 57(1)(f) du RGPD.
  9. Voir l’art. 58(1)(a) du RGPD.
  10. Voir l’art. 58(1)(f) du RGPD.
  11. Voir l’art. 58(1)(b) du RGPD.

 

Aller au contenu principal