Article 6 du RGPD

Licéité du traitement

Licéité du traitement

Ce que dit le RGPD :

1.  Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2.  Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.

3.  Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a) le droit de l'Union; ou

b) le droit de l'État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.

4.  Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Que doit-on en comprendre ?

L’article 6 du RGPD concerne la “Licéité du traitement”. Ce terme un peu technique désigne le fondement légal autorisant le responsable de traitement à traiter (collecter et utiliser) des données personnelles. On parle aussi de “base légale”.

💡 Pour rappel, l’article 4 RGPD prévoit que le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

La base légale a deux fonctions :

  1. Permettre au responsable de traitement de s’assurer qu’il traite légalement des données personnelles.
  2. Et s’assurer une protection des données personnelles en toute transparence puisque le responsable de traitement doit renseigner dans document déclaratif appelé “registre de traitement”, les bases légales de chaque traitement des données personnelles qu’il opère.

Ainsi, les bases légales ont donc pour objet de protéger aussi bien les personnes concernées que les responsables de traitement dans leurs activités 😇.

Quelles sont-elles ?

L’article 6 §1 RGPD prévoit que le traitement n’est licite que si l’une des conditions suivantes est remplie :

  1. La personne concernée a consenti au traitement de ses données personnelles.
  2. Le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles.
  3. Le traitement est nécessaire au respect d’une obligation légale.
  4. Le traitement est nécessaire à l’intérêt légitime du responsable de traitement à moins que ne prévalent les droits et libertés de la personne concernée, notamment lorsqu’elle est enfant.
  5. Le traitement est nécessaire à l’exercice d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique.
  6. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Les deux dernières bases ne concernent que les acteurs publics ou organismes exerçant une mission de service public (2) tandis que les quatre premières s’adressent également aux organismes privés (1). Il convient de rapprocher cet article des principes fondamentaux des traitements (3).

1 - Consentement, contrat, obligation légale ou intérêt légitime ?

1.1 - Le consentement

💡 Pour rappel, l’article 4 RGPD défini le consentement comme : “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.”

Cette définition a pour objet d’exclure la possibilité de recueillir le consentement basé sur le silence (par exemple via des cases précochées) ou pas des processus déloyal. La personne concernée doit dispose d’une liberté de choix, c'est-à-dire pouvoir refuser le traitement de ses données personnelles sans conséquences préjudiciables.

L’individu concerné doit également pouvoir retirer son consentement aussi facilement qu’il l’a donné. L’article 17 RGPD permet de former une demande d’effacement des données personnelles, et lorsqu’il n’existe pas d’autre fondement juridique au traitement, le responsable de traitement doit procéder à la suppression de ces données.

1.2 - Le contrat

Ce cas désigne toutes les hypothèses où le responsable de traitement est amené à traiter des données personnelles pour l’exécution de ce contrat ou d’un futur contrat.

Cette base légale sert donc à beaucoup de situations : contrat de travail, vente d’un produit en ligne, contrat de prêt, contrat d’assurance.

Il convient seulement de s’interroger sur deux éléments :

  • Il faut que les données personnelles appartiennent bien à la personne partie au contrat.
  • Et il faut que les données personnelles soient nécessaires à l’exécution dudit contrat.

Par exemple, dans le cadre d’un contrat de travail, l’employeur (responsable de traitement) traite les données personnelles relatives à ses employés pour le versement de leurs salaires (arrêts maladie, congés payés, temps de travail, rémunération, notes de frais etc.) dont la base légale est le contrat.

Après le départ du salarié, le traitement de ces données n’est plus nécessaire à l’exécution du contrat, donc la conservation de ces données ne peut plus être fondée sur cette base. Pour autant, les données pourront être conservées sur le fondement “obligation légale” car il s’agit de données comptables (notes de frais, bulletins de paie etc.) qui doivent être conservées en vertu de la loi.

💡 Rappelons que les données à caractère personnel correspondent à toute information se rapportant une personne physique (article 4 RGPD).

→ Donc dans un contrat B to C il y aura un traitement de données personnelles relatif à l’identité, adresse de livraison etc. Dans un contrat B to B il y aura un traitement de données personnelles relatif à l’email professionnel et l’identité de la personne physique représentant l’entreprise.

1.3 - L’obligation légale

Ce cas désigne les hypothèses où la loi elle-même impose un traitement de données à caractère personnel.

Par conséquent, ce cas concerne aussi bien les acteurs publics que les acteurs privés :

  • Pour les entreprises et organisme privé : ce cas peut concerner plusieurs traitements.

Par exemple, la loi impose la tenue d’une comptabilité pour les entreprises, les traitements associés auront pour fondement juridique l’obligation légale (L.121-1 à L.153-10 code du commerce,L102 B du livre des procédures fiscales).

C’est également le cas pour les déclarations sociales (L. 244-3 code de la sécurité sociale) et fiscales (L.169 livre des procédures fiscales) de l’employeur concernant ses employés.

  • Pour les acteurs publics : beaucoup des missions de services publics, et les traitements de données personnelles associés, sont régies par la loi.

Par exemple, la CNIL a publié son registre de traitement de données personnelles. À propos de l’une de ses missions “contrôle des mesures de blocage de contenus illicites”, elle a fondé les traitements associés sur le fondement “obligation légale” conformément à la loi du 21 juin 2004 pour la confiance dans l'économie numérique (registre de la CNIL, page 33/125).

1.4 - L’intérêt légitime

Cette hypothèse concerne les traitements qu’un responsable de traitement effectue dans l’intérêt légitime de son entreprise lorsque cet intérêt ne prévaut pas sur les droits et libertés des personnes concernées. Notons encore que cette base légale est prohibée pour les acteurs publics (article 6§1 f) RGPD)

Il s’agit peut-être de la base légale la moins identifiable car elle peut concerner des situations très diverses. De plus, c’est au chef d’entreprise lui-même de déterminer ce qui relève de son “intérêt légitime”.

Voici quelques pistes :

  • Le terme “légitime” désigne un intérêt qui est réel pour l’entreprise et non pas fictif et surtout un intérêt légal.

Par exemple, une entreprise peut avoir légitimement un intérêt à effectuer du démarchage commercial (et traiter des données personnelles à ce titre). À l’inverse, le chef d’entreprise n’a pas d’intérêt légitime à garder les emails personnels de ses employés après leurs départs (il n’a légalement pas le droit d’y avoir accès).

  • Il convient également de prendre ne compte l’intérêt de la personne concernée par le traitement de donnée personnelle et recherche si l’intérêt légitime de l’organisme est supérieur à l’intérêt de la protection de ces données par la personne concernée.

Pour cette raison, la personne concernée peut s’opposer à tous moments aux traitements de ces données fondés sur cette base légale au regard de son droit à l’opposition (article 21 RGPD) et/ ou son droit d’effacement des données personnelles (article 17 RGPD).

Par exemple, cette base concerne assez classiquement le traitement de données nécessaires à des opérations de prospections commerciales, à une base de données “clients/ prospect”, à des statistiques de vente ou à un dispositif de vidéosurveillance sur le lieu de travail.

2 - Mission de service public et intérêts vitaux

2.1 - Intérêt public

Ce fondement juridique ne concerne que les acteurs publics dans la mesure où sont visés les traitements associés à la réalisation d’une mission de service public ou de l’exercice de l’autorité publique.

Par exemple, dans la mesure où le traitement de certaines données personnelles est nécessaire à l’exercice d’une mission de service public, la CNIL a fondé ses traitements sur la base légale “intérêt public” concernant ses missions principales (gestion des réclamations, contrôle et sanction etc.).

2.2 - Intérêts vitaux

Cette base légale concerne les situations très spécifiques liées à l’urgence de sauver la vie d’une personne, lorsque celle-ci à perdu connaissance et qu’il faut par exemple connaître son groupe sanguin. De manière plus générale, cette base légale concerne les traitements de données personnelles relatives aux activités humanitaires ou la gestion d’une épidémie.

Ces hypothèses ne concernent donc que des organismes de santé, États, organisations internationales, administrations ou organismes investies d’une mission de service public.

3 - Bases légales et principes fondamentaux des traitements de données personnelles

⚠️ Le seul fait de remplir l’une de ces conditions ne suffit pas à garantir la légalité du traitement.

Par exemple, le seul fait d’avoir obtenu le consentement de la personne pour traiter ses données personnelles ne signifie pas que tout traitement à ce titre est admissible.

En tout état de cause, les principes fondamentaux des traitements des données personnelles s’appliquent - article 5 RGPD :

  • Les données à caractère personnel doivent être traitées de manière licite (redite de l’article 6§1 RGPD), loyale et transparente.
  • Les données à caractère personnel doivent être collectées pour des finalités déterminées.
  • Doit être pris en compte le principe de minimisation des données, c'est-à-dire le fait de ne collecter que les données nécessaires au traitement, et pas plus.
  • Les données à caractère personnel doivent être traitées de manière exacte.
  • Les données à caractère personnel doivent être traitées pour une durée déterminée.
  • Les données à caractère personnel doivent être traitées de manière à garantir une sécurité appropriée des données à caractère personnel.

Pour plus d’informations sur les principes fondamentaux énoncés par l’article 5 RGPD, c’est par ici.

Pour plus d’accompagnement dans votre conformité RGPD, n’hésitez pas à demander une démo de notre solution 💁🏻‍♀️ !

Des exemples de sanctions dans le cadre de cet article

50000000
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Google Inc.
35258708
Autorité de protection des données de Hambourg
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
H&m Hennes & Mauritz Boutique En Ligne
27800000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Tim (opérateur De Télécommunications)
16700000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Wind Tre Spa
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
10400000
Autorité de protection des données de Niedersachsen
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Notebooksbilliger.de
8500000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Eni Gas E Luce
6000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Caixabank Sa
5000000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Google Llc
5000000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Banco Bilbao Vizcaya Argentaria, Sa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
3296326
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Sky Italia Srl
3000000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Eni Gas E Luce
3000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Caixabank Paiements & Consommateur Efc, Ep, Sau
2856169
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iren Mercato Spa
2750000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Ministre Néerlandais Des Finances
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2000000
Autorité autrichienne de protection des données (dsb)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Unser Ö-bonus Club Gmbh
2000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Amazon Road Transport Espagne Sl
1900000
Autorité de protection des données de Brême
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Brebau Gmbh
1240000
Autorité de protection des données du Bade-Wurtemberg
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Allgemeine Ortskrankenkasse (`` Aok '') (compagnie D'assurance Maladie)
600000
Autorité belge de protection des données (APD)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Google Belgium Sa
600000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Commune D'enschede
525000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Association Royale Néerlandaise De Tennis ('knltb')
500000
Autorité française de protection des données (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Futura Internationale
400000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Spa Atac
400000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
B&t Spa
350000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Roma Capitale
300000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Segurcaixa Adeslas, Sa De Seguros Y Reaseguros
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre