GDPR (10) Autorisation ou intérêt légitime ?

13 octobre 2017

Dans nos articles précédents, nous avons évoqué les fondements juridiques possibles pour le traitement des données à caractère personnel. Dans certains cas, plusieurs fondements juridiques peuvent être invoqués. Mais comment choisir le meilleur pour justifier votre traitement ?

Il est moins facile de répondre à cette question qu’il n’y paraît. Pourtant, il est important de s’y arrêter, car votre choix n’est pas sans conséquences. Tel fondement juridique vous apportera plus de sécurité à long terme que tel autre. Mais passer de l’un à l’autre est source de confusion et peut donner l’impression que vous voulez induire en erreur les personnes concernées.

Tant que cela concerne des données traitées dans le cadre de l’exécution d’un contrat (comme par exemple des coordonnées pour des commandes, livraisons ou prestation de services et facturation) ou dans le cadre d’obligations légales, aucun doute n’est possible. Par contre, il est nettement plus complexe de choisir entre l’autorisation de la personne concernée ou l’invocation d’un intérêt légitime.

Demander l’accord des personnes concernées semble toujours être une bonne option, mais cela comporte également des risques. Si vous demandez une autorisation que vous n’obtenez pas, vous ne pouvez évidemment plus traiter les données. Imaginez que vous demandiez à chaque personne d’un fichier pour une campagne marketing son autorisation explicite pour pouvoir la contacter à l’avenir. Le taux de réponse à ce genre d’action se situe aux alentours de 10 %. Conséquence ? Vous ne pouvez plus utiliser la majeure partie de vos contacts.

Dans tous les cas où vous pouvez démontrer que vous avez bel et bien obtenu cette autorisation, vous êtes bien sûr protégé(e). Vous créez également une bonne image, en communiquant ouvertement sur vos intentions et en tenant compte des préférences de vos contacts. Mais cela entrave une diffusion vaste de vos campagnes et rend l’ajout de nouveaux destinataires particulièrement complexe. Enfin, il y a toujours le risque qu’une personne concernée revienne ultérieurement sur sa décision et retire son autorisation, ce qui réduit encore votre base de contacts.

Quelles alternatives s’offrent alors à vous ? Vous pouvez toujours invoquer l’intérêt légitime de votre organisation comme fondement juridique. Une organisation commerciale – pour reprendre l’exemple des campagnes marketing – ne peut en effet pas fonctionner sans la possibilité de présenter et de vanter ses produits ou services. Comme nous l’avons déjà dit, votre dossier doit dans ce cas être soigneusement constitué. Pour commencer, limitez les données à traiter au strict nécessaire. Avec moins d’informations, le risque d’une atteinte grave à la vie privée est automatiquement réduit. Un fichier ne contenant que des coordonnées est évidemment moins critique qu’une grande collection de données dont certaines sont sensibles.

Prenez ensuite toutes les mesures nécessaires pour protéger correctement ces données et assurer leur confidentialité. Démontrez que les données collectées ne peuvent être utilisées à d’autres fins. Vous préservez de la sorte l’équilibre entre les intérêts des personnes concernées et les intérêts de votre organisation. Décrivez brièvement (ou de manière plus circonstanciée) votre argumentaire dans votre registre. En cas de litige, vous pourrez toujours attester que vous agissez de bonne foi, en ayant fait les bonnes considérations.

Toutefois, aucune de ces mesures n’empêche que le fondement juridique de l’intérêt légitime ne puisse être contesté. Une personne concernée qui se sent lésée, ou un concurrent qui estime que vos pratiques sont malhonnêtes, peut déposer plainte à la Commission Vie Privée. Cette plainte peut entraîner une enquête et éventuellement aboutir devant le tribunal. Le résultat de tout cela dépend alors de l’interprétation des faits concrets par les auditeurs ou par le juge, et cela peut s’écarter de vos propres estimations. Un jugement en votre défaveur peut mener à une amende, vous empêcher de poursuivre le traitement ou vous contraindre au paiement d’une indemnité. Lors de l’établissement du jugement et des mesures correctives, la Commission Vie Privée tiendra toutefois compte de la situation générale. Si une organisation ne respecte aucun aspect de la législation relative au respect de la vie privée, les faits reprochés pèseront plus lourd. Par contre, si vous avez pris les mesures nécessaires et pouvez démontrer selon quels raisonnements vous avez justifié certains traitements, les faits qui vous sont reprochés paraîtront moins graves.

Nous avons conscience de ne pas avoir fourni de réponse simple, ni de directive univoque. Mais le respect de la vie privée est un droit qu’il convient de confronter à d’autres droits, et ce sera toujours une question d’interprétation et de discussion. Du bon sens et une approche ouverte et honnête constituent déjà un bon début. Ensuite, vous devez communiquer clairement votre point de vue et bien le documenter. Vous devez évidemment veiller à prendre toutes les mesures de protection attendues tout au long du processus de traitement afin de limiter les risques d’infraction.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse  gdpr@groupjoos.com

LOADING