GDPR (8) Fondement juridique pour le traitement des données à caractère personnel

20 septembre 2017

Lors de l’élaboration du registre des activités de traitement des données à caractère personnel, le responsable a tout intérêt à définir le fondement juridique, même s’il ne s’agit pas d’une composante obligatoire du registre. Pour une utilisation légale des données, le traitement doit faire l’objet d’une finalité spécifique et d’un fondement juridique démontrable. En outre, le traitement doit respecter les règles de proportionnalité et de subsidiarité. En d’autres termes, il doit être nécessaire et proportionnel à l’objectif.

Le GDPR prévoit plusieurs fondements juridiques possibles, qui ne sont pas applicables dans tous les cas. Il est important de bien réfléchir au fondement avant de commencer un traitement. Ce processus doit être documenté et peut jouer un rôle important en cas de litiges ou de plaintes par la suite.

Le GDPR fournit des instructions on ne peut plus claires et spécifiques à propos de l’autorisation de la personne concernée comme fondement juridique, mais nous en parlerons plus spécifiquement dans notre prochain article.

D’autres fondement juridiques peuvent en outre être invoqués. Les données peuvent être nécessaires pour la réalisation ou la préparation d’un contrat. Pour la collaboration entre les clients et les fournisseurs, toutes sortes de données à caractère personnel sont nécessaires. Il s’agit avant tout des coordonnées, mais dans l’univers B2C, des données de paiement et des informations financières peuvent s’y ajouter. Pour autant que le caractère nécessaire des informations traitées puisse être démontré pour l’établissement du contrat ou la prestation des services convenus, ce fondement juridique suffit comme justification.

Une obligation légale peut également constituer la base pour le traitement des données à caractère personnel. Il peut s’agir de la législation européenne ou nationale qui oblige les entreprises à transmettre des informations aux autorités. C’est notamment le cas pour les banques, les compagnies d’assurances, les compagnies aériennes, etc.

En outre, l’intérêt général peut lui aussi constituer un fondement juridique, par exemple si les autorités conviennent d’accords organisationnels avec des entreprises pour l’administration des impôts. Ce fondement juridique permet également de collecter des informations à des fins scientifiques ou historiques. Les tâches des autorités publiques relèvent également de l’intérêt général.

La loi prévoit également, pour les affaires vitales (s’il est véritablement question de vie ou de mort), la possibilité d’utiliser les données à caractère personnel de la personne concernée ou d’une autre personne physique. Il faut évidemment agir dans l’intérêt de la personne individuelle, avec suffisamment de bon sens.

Enfin, il reste l’intérêt légitime du responsable ou d’un tiers. Cela ne s’applique pas aux autorités publiques. Lorsqu’on invoque ce fondement juridique, il convient toujours de l’expliciter et d’équilibrer les intérêts avec le droit de confidentialité des personnes concernées. Dans le registre comme dans les déclarations de respect de la vie privée rédigées à titre d’explication pour les personnes concernées, cela doit être clairement démontré et explicité. Un intérêt purement économique ne suffit plus comme justification. Et le traitement doit bel et bien être nécessaire. Il s’agit dans tous les cas du fondement juridique le plus faible de tous. Le GDPR demande explicitement d’accorder une attention particulière au traitement des données relatives aux enfants (jusqu’à l’âge de 16 ans). Une autorisation parentale est alors nécessaire, ce qui n’est guère facile à organiser.

S’il s’agit du traitement de catégories spéciales de données à caractère personnel, les règles sont encore plus strictes. Un tel traitement est interdit, sauf dans certains cas, énumérés par le GDPR.

Parcourons-les brièvement :

  • Si la personne concernée a explicitement donné son autorisation
  • S’il s’agit de données déjà publiquement disponibles parce qu’elles ont manifestement été publiées par la personne concernée elle-même.
  • Sur la base de la législation relative à l’emploi (toutes sortes de données doivent être traitées dans le cadre de la sécurité sociale, des obligations légales et des accords contractuels)
  • Dans les affaires d’importance vitale, si la personne concernée n’est pas en mesure de donner son autorisation (il s’agit souvent précisément de l’utilisation ou de la transmission de données médicales)
  • Pour les asbl ou les œuvres caritatives, pour autant qu’il s’agisse d’une utilisation légale des données relatives aux membres, anciens membres ou personnes avec lesquelles elles sont en contact régulier
  • Pour les associations, syndicats ou organisations politiques et religieuses (à des fins politiques, philosophiques ou religieuses)
  • Les données relatives à des infractions ou des affaires pénales ne peuvent être traitées que par les autorités publiques ou dans les cas prévus par la législation (européenne ou nationale). Chaque pays peut en outre imposer ses propres limitations. Le droit pénal est d’ailleurs une matière nationale, qui n’est pas régie par le GDPR
  • Si les données sont nécessaires dans le cadre de procès
  • Dans certains cas, en raison de l’intérêt général :
    • en cas d’intérêt général substantiel, et couvert par la législation européenne ou nationale, protégeant également les droits de l’individu
    • dans le cadre des soins de santé (diagnostic par des professionnels de la santé, données pour l’organisation des soins de santé ou la sécurité sociale, évaluation de la santé des travailleurs, étude des médicaments)
    • données nécessaires pour la recherche scientifique ou historique, ou l’archivage, avec la prise des mesures de protection nécessaires (les résultats de l’étude peuvent par exemple être anonymisés ou pseudonymisés).

Il faut toujours une raison importante pour traiter des données à caractère personnel. Dans nos prochains articles, nous nous pencherons davantage sur l’autorisation de la personne concernée et l’intérêt légitime du responsable comme fondement juridique.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

LOADING