1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
a) le droit de l'Union; ou
b) le droit de l'État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:
a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.
L’article 6 du RGPD concerne la “Licéité du traitement”. Ce terme un peu technique désigne le fondement légal autorisant le responsable de traitement à traiter (collecter et utiliser) des données personnelles. On parle aussi de “base légale”.
💡 Pour rappel, l’article 4 RGPD prévoit que le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.
La base légale a deux fonctions :
Ainsi, les bases légales ont donc pour objet de protéger aussi bien les personnes concernées que les responsables de traitement dans leurs activités 😇.
Quelles sont-elles ?
L’article 6 §1 RGPD prévoit que le traitement n’est licite que si l’une des conditions suivantes est remplie :
Les deux dernières bases ne concernent que les acteurs publics ou organismes exerçant une mission de service public (2) tandis que les quatre premières s’adressent également aux organismes privés (1). Il convient de rapprocher cet article des principes fondamentaux des traitements (3).
💡 Pour rappel, l’article 4 RGPD défini le consentement comme : “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.”
Cette définition a pour objet d’exclure la possibilité de recueillir le consentement basé sur le silence (par exemple via des cases précochées) ou pas des processus déloyal. La personne concernée doit dispose d’une liberté de choix, c'est-à-dire pouvoir refuser le traitement de ses données personnelles sans conséquences préjudiciables.
L’individu concerné doit également pouvoir retirer son consentement aussi facilement qu’il l’a donné. L’article 17 RGPD permet de former une demande d’effacement des données personnelles, et lorsqu’il n’existe pas d’autre fondement juridique au traitement, le responsable de traitement doit procéder à la suppression de ces données.
Ce cas désigne toutes les hypothèses où le responsable de traitement est amené à traiter des données personnelles pour l’exécution de ce contrat ou d’un futur contrat.
Cette base légale sert donc à beaucoup de situations : contrat de travail, vente d’un produit en ligne, contrat de prêt, contrat d’assurance.
Il convient seulement de s’interroger sur deux éléments :
Par exemple, dans le cadre d’un contrat de travail, l’employeur (responsable de traitement) traite les données personnelles relatives à ses employés pour le versement de leurs salaires (arrêts maladie, congés payés, temps de travail, rémunération, notes de frais etc.) dont la base légale est le contrat.
Après le départ du salarié, le traitement de ces données n’est plus nécessaire à l’exécution du contrat, donc la conservation de ces données ne peut plus être fondée sur cette base. Pour autant, les données pourront être conservées sur le fondement “obligation légale” car il s’agit de données comptables (notes de frais, bulletins de paie etc.) qui doivent être conservées en vertu de la loi.
💡 Rappelons que les données à caractère personnel correspondent à toute information se rapportant une personne physique (article 4 RGPD).
→ Donc dans un contrat B to C il y aura un traitement de données personnelles relatif à l’identité, adresse de livraison etc. Dans un contrat B to B il y aura un traitement de données personnelles relatif à l’email professionnel et l’identité de la personne physique représentant l’entreprise.
Ce cas désigne les hypothèses où la loi elle-même impose un traitement de données à caractère personnel.
Par conséquent, ce cas concerne aussi bien les acteurs publics que les acteurs privés :
Par exemple, la loi impose la tenue d’une comptabilité pour les entreprises, les traitements associés auront pour fondement juridique l’obligation légale (L.121-1 à L.153-10 code du commerce,L102 B du livre des procédures fiscales).
C’est également le cas pour les déclarations sociales (L. 244-3 code de la sécurité sociale) et fiscales (L.169 livre des procédures fiscales) de l’employeur concernant ses employés.
Par exemple, la CNIL a publié son registre de traitement de données personnelles. À propos de l’une de ses missions “contrôle des mesures de blocage de contenus illicites”, elle a fondé les traitements associés sur le fondement “obligation légale” conformément à la loi du 21 juin 2004 pour la confiance dans l'économie numérique (registre de la CNIL, page 33/125).
Cette hypothèse concerne les traitements qu’un responsable de traitement effectue dans l’intérêt légitime de son entreprise lorsque cet intérêt ne prévaut pas sur les droits et libertés des personnes concernées. Notons encore que cette base légale est prohibée pour les acteurs publics (article 6§1 f) RGPD)
Il s’agit peut-être de la base légale la moins identifiable car elle peut concerner des situations très diverses. De plus, c’est au chef d’entreprise lui-même de déterminer ce qui relève de son “intérêt légitime”.
Voici quelques pistes :
Par exemple, une entreprise peut avoir légitimement un intérêt à effectuer du démarchage commercial (et traiter des données personnelles à ce titre). À l’inverse, le chef d’entreprise n’a pas d’intérêt légitime à garder les emails personnels de ses employés après leurs départs (il n’a légalement pas le droit d’y avoir accès).
Pour cette raison, la personne concernée peut s’opposer à tous moments aux traitements de ces données fondés sur cette base légale au regard de son droit à l’opposition (article 21 RGPD) et/ ou son droit d’effacement des données personnelles (article 17 RGPD).
Par exemple, cette base concerne assez classiquement le traitement de données nécessaires à des opérations de prospections commerciales, à une base de données “clients/ prospect”, à des statistiques de vente ou à un dispositif de vidéosurveillance sur le lieu de travail.
Ce fondement juridique ne concerne que les acteurs publics dans la mesure où sont visés les traitements associés à la réalisation d’une mission de service public ou de l’exercice de l’autorité publique.
Par exemple, dans la mesure où le traitement de certaines données personnelles est nécessaire à l’exercice d’une mission de service public, la CNIL a fondé ses traitements sur la base légale “intérêt public” concernant ses missions principales (gestion des réclamations, contrôle et sanction etc.).
Cette base légale concerne les situations très spécifiques liées à l’urgence de sauver la vie d’une personne, lorsque celle-ci à perdu connaissance et qu’il faut par exemple connaître son groupe sanguin. De manière plus générale, cette base légale concerne les traitements de données personnelles relatives aux activités humanitaires ou la gestion d’une épidémie.
Ces hypothèses ne concernent donc que des organismes de santé, États, organisations internationales, administrations ou organismes investies d’une mission de service public.
⚠️ Le seul fait de remplir l’une de ces conditions ne suffit pas à garantir la légalité du traitement.
Par exemple, le seul fait d’avoir obtenu le consentement de la personne pour traiter ses données personnelles ne signifie pas que tout traitement à ce titre est admissible.
En tout état de cause, les principes fondamentaux des traitements des données personnelles s’appliquent - article 5 RGPD :
Pour plus d’informations sur les principes fondamentaux énoncés par l’article 5 RGPD, c’est par ici.
Pour plus d’accompagnement dans votre conformité RGPD, n’hésitez pas à demander une démo de notre solution 💁🏻♀️ !