Un traitement de données = une base légale nécessaire
Pour être licite le traitement, nous dit le texte, doit au moins répondre à une des conditions suivantes. C’est l’article 6 du règlement qui pose les bases de la licéité du traitement :
- un consentement de la personne concernée par le traitement
- les données sont nécessaires à l'exécution d'un contrat ou à un précontrat
- obligation légale
- la sauvegarde des intérêts vitaux d’une personne
- une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
Dès lors que beaucoup d’entrepreneurs considèrent encore aujourd’hui le RGPD comme une contrainte juridique dont ils se seraient bien passés, lequel de ces fondements est-il le plus pratique à utiliser ? Voir, le plus sûr pour qui ne veut pas prendre le moindre risque juridique ?
Un jeu de chamboule-tout juridique
Ecartons les hypothèses les unes après les autres.
On peut d’emblée écarter deux fondements très spécifiques : la sauvegarde des intérêts vitaux et la mission d’intérêt public : si on s’attache aux activités les plus communes des entreprises, la grande majorité ne sera pas concernée par ces 2 fondements.
Dès lors, demeurent 4 fondements licites au traitement des données.
Une seconde élimination relevant de la pure logique saute aux yeux : le traitement des données nécessaire à l’exécution d’un contrat ou d’un précontrat et le fondement de l’obligation légale. Dans les deux cas, la logique prend le pas sur le raisonnement : vous avez besoin des coordonnées et de l’identité du client achetant des produits sur votre site e-commerce et vous conserverez précieusement la facture émise pour respecter vos obligations comptables et fiscales.
En réalité ces deux fondements ne relèvent pas d’une option mais d’une logique élémentaire ne s’inscrivant pas dans une stratégie « commerciale » de recueil et de traitement des données.
Le consentement : roi du fondement juridique de traitement des données.
Bilan ?
Hors cas de logique pure (nécessité contractuelle, obligation légale) ou cas de figure très spécifique (sauvegarde des intérêts vitaux et mission d’intérêt public), il ne reste que deux fondements licites au traitement de données : le consentement de la personne concernée et les intérêts légitimes du responsable du traitement ou d’un tiers.
Or, si du consentement on sait absolument tout puisque la notion est évoquée à 68 reprises dans le RGPD et qu'elle est abordée dans 26 considérants et articles directement ou indirectement et notamment à l’article 7 intitulé « Conditions applicables au consentement » (l’article 8 traitant lui du consentement des enfants) tel n’est en revanche pas le cas de cette notion fumeuse « des intérêts légitimes poursuivis par le responsable du traitement » qui n’est jamais clairement définie dans le texte…
En l’état, pour savoir si vous êtes dans les clous de cette notion, vous devrez vous contenter du considérant 47 du texte procédant par des exemples peu éclairant : « (…) un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service (…) »
Vous n’avez rien compris ? Tant pis pour vous… d’autant que ce même considérant 47 précise quand même que « (…) l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée »
Toujours rien compris ? Bon... Dans ce cas, le plus sûr consiste à vous référer au travail réalisé par le G29 (groupement des CNIL européennes), en l’espèce, l’avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE réalisé le 9 avril 2014 : 78 pages (!!!) de pur bonheur juridique… et la garantie de ne pas pouvoir exclure une certaine forme d’insécurité juridique dès lors qu’il n’existe aucun recul pratique sur cette notion.
Pour faire simple, fonder un traitement sur cette notion c’est accepter l’idée d’une complexité certaine et donc de prendre un risque sérieux au regard des sanctions encourues : vous n’avez pas le droit à l’erreur.
Quel enseignement tirer de cette analyse ?
Le recueil du consentement des personnes concernées par le traitement projeté constitue donc, pour la plupart des entreprises, la voie la plus sûre mais aussi la plus simple à emprunter pour se conformer aux obligations du RGPD.
Il ne vous reste plus alors qu’à recueillir un consentement répondant aux exigences du RGPD pour traiter les données recherchées.