Le fondement juridique des traitements: avec ou sans consentement

Les 5 cas de traitement sans consente- ment56

(b) le traitement sans consentement «nécessaire à l’exécution d’un contrat»

Si le consommateur ne donne pas son adresse pos- tale, le «libraire en ligne» ne pourra pas lui livrer l’ouvrage commandé sur son site web. De la même manière, le moteur de recherche en ligne pourra refuser l’accès au service gratuit qu’il propose si l’internaute refuse le traitement de ses données qui seraient nécessaires à l’accomplissement du service par le moteur de recherche.

(c) le traitement sans consentement «nécessaire au respect d’une obligation légale»

La loi impose aux centres de contrôle technique automobile de collecter des données dont cer- taines sont indéniablement à caractère personnel (le nom du titulaire de la «carte grise» du véhicule contrôlé par exemple). L’automobiliste n’aura pas le choix, mais le professionnel du contrôle technique sera néanmoins tenu de lui révéler l’existence de ce traitement.

(d) le traitement sans consentement «nécessaire à la sauvegarde des intérêts vitaux» de la personne concernée

Le RGPD prévoit l’application de cette option pour «des fins humanitaires, y compris pour suivre des épidémies et leur propagation»57 . A une échelle moins dramatique, si une personne est dans le coma suite à un accident de la route, il peut être nécessaire aux secours de procéder, avant que le patient n’y consente, à un traitement de données pour des soins urgents à lui prodiguer.

(e) le traitement sans consentement «nécessaire à mission d’intérêt public»

Le RGPD prévoit l’application de cette option pour «des fins de santé publique» ou «de protection sociale»58 . Si le recensement de la population d’une ville est nécessaire à la politique locale du logement, la conduite de la mission d’intérêt public prime sur le consentement de la personne concer- née.

(f) le traitement sans consentement «nécessaire aux fins des intérêts légitimes du responsable du traitement»

Dernière des 5 options de traitement SANS consentement, la notion «d’intérêts légitimes du responsable du traitement», typiquement anglo- saxonne, pose une réelle difficulté aux juristes du reste de l’Union Européenne. Une personne morale (une SARL, une SAS, une association, etc.) doit exercer son activité dans le cadre de son «objet social». Mais quels sont ses «intérêts légitimes» ? Faire des profits ? Tout savoir sur ses clients ? Sur ses salariés ? Et surtout, dans quels cas ces «inté- rêts légitimes» pourraient primer sur les «droits et libertés» des personnes ? Les arcanes du RGPD- GDPR proposent ce fondement juridique de trai- tement de données sans consentement «lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traite- ment, par exemple lorsque la personne concernée est un client du responsable du traitement ou est à son service59». Le traitement par un employeur des données [personnelles] de ses salariés pourrait ainsi trouver son fondement légal, ainsi que l’enca- drement du traitement par une entreprise des don- nées de ses «clients» et de ses «prospects»60.

Une fois que le «responsable du traitement» aura déterminé le fondement juridique approprié pour son traitement, il devra également veiller stricte- ment au respect des six principes de licéité.

consentement

Une véritable révolution juridique : le fondement juridique obligatoire du traitement

Depuis 1995, un traitement de données [person- nelles] devait être opéré avec le consentement des personnes. Par exception il était possible pour les professionnels de s’affranchir de ce consentement dans un nombre de cas limités et d’interprétation restrictive. Au final, les prescriptions de la Directive 95/46 n’ont été que peu respectées. Contrepied

de la précédente politique de l’UE, le RGPD-GDPR imposera dès le 25 mai 2018 l’obligation pour le professionnel :

(i) de choisir un fondement légal pour son traite- ment (AVEC ou SANS consentement49 )

ET

(ii) de déclarer au préalable ce choix à la per- sonne dont les données doivent être traitées. Cette obligation de révéler le fondement retenu est une condition de validité du traitement, rendue obli- gatoire en application du «principe de transpa- rence»50.

(a) Focus sur les traitements AVEC consentement préalable

Le RGPD-GDPR impose – et c’est une nouveauté
– que le consentement de la personne concernée, sa «manifestation de volonté», passe nécessaire- ment par «une déclaration» ou «un acte positif explicite». C’est donc la généralisation du consen- tement «opt-in». Si la personne ne dit/écrit/coche pas «oui», c’est qu’elle dit «non» . Et le RGPD-GDPR précise qu’un silence de l’internaute ou une case pré-cochée par défaut53 rendent le consentement nul.

Attention, le RGPD-GDPR précise sans ambiguïté qu’il doit être «aussi simple de retirer que de don- ner son consentement»54.

Lorsque une personne retire son consentement,
le professionnel doit alors effacer définitivement
et complètement les données collectées après le consentement donné. C’est une application directe du nouveau «droit à l’oubli»55 . Vu les consé- quences drastiques d’un retrait du consentement, il était normal de prévoir aussi des options de traite- ment SANS demande de consentement préalable des personnes.