Le 9 avril 2019, le Comité Européen de la Protection des données adoptait les lignes directrices 2/2019 sur le traitement des données à caractère personnel au regard de l’article 6(1)(b) dans le cadre de la fourniture de services en ligne aux personnes concernées, fondé sur l’exécution d’un contrat ou de mesures pré-contractuelles. Quels sont les apports de ce document qui était soumis à consultation publique jusqu’au 24 mai 2019 ?

Focus sur l’EDPB

Le Comité Européen de la Protection des données ou EDPB pour European Data Protection Board établi en 2018 est l’autorité européenne de la protection des données qui regroupe les autorités de protection des données nationales. Celui-ci vient remplacer le G29, conseille la Commission européenne et a pour rôle principal de publier des lignes directrices, recommandations et bonnes pratiques en matière de protection des données.

La base juridique du traitement : oui mais pourquoi ?

L’EDPB a donc publié ses nouvelles « Guidelines » en avril dernier et revient sur la question du contrat en tant que base juridique de traitements de données personnelles pour la fourniture de services en ligne, et souhaite traiter cette problématique de manière pragmatique et précise.

Le responsable de traitement, dès lors qu’il entreprend de traiter des données à caractère personnel, doit identifier la base juridique appropriée, c’est-à-dire son fondement juridique. Le RGPD liste ainsi à l’article 6, l’ensemble des bases juridiques qui peuvent servir comme fondement du traitement. Celles-ci sont :

a. Le consentement
b. L’exécution d’un contrat
c. L’obligation légale
d. L’intérêt vital
e. La mission d’intérêt public
f. L’intérêt légitime

L’article 6(1)(b) du RGPD dispose en particulier que :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
(b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci ».

Il est important de déterminer la raison d’être exacte du contrat, afin de vérifier si le traitement des données est effectivement nécessaire à son exécution.

Ainsi, comme nous l’avons rappelé dans notre article RGPD : Quelle base juridique pour vos traitements de données à caractère personnel ?, le fait que plusieurs traitements soient couverts par un contrat ne signifie pas qu’ils sont automatiquement nécessaires à l’exécution dudit contrat. Ainsi par exemple, « l’exécution du contrat ne peut pas être le fondement juridique pour établir un profil des centres d’intérêts et des habitudes de vie de l’utilisateur à partir de son historique de navigation sur le site internet et des articles achetés. En effet, même si ce traitement est expressément mentionné dans le contrat, il ne devient pas pour autant nécessaire à l’exécution du contrat, car l’objet du contrat n’est pas d’établir un profil mais de fournir un produit ou service ».

Par ailleurs, il est nécessaire d’informer la personne concernée par le traitement de la base juridique du traitement, car celle-ci conditionne notamment l’application ou non de certains droits reconnus aux personnes concernées. Dans le cadre des mentions obligatoires de l’article 13 du RGPD à faire figurer sur le site internet, support de la fourniture du service en ligne, il est nécessaire d’indiquer les droits dont disposent les personnes concernées. Ainsi, en ce qui concerne un traitement basé sur l’exécution du contrat, la personne concernée doit bénéficier des droits suivants qu’il doit pouvoir exercer à tout moment sans motif particulier :

► Un droit d’accès
► Un droit de rectification
► Un droit de suppression
► Un droit à la limitation
► Un droit à la portabilité

La fourniture de services en ligne

Ainsi, les lignes directrices de l’EDPB adressent la question de la fourniture de services en ligne. Au regard de l’article 1 de la Directive (UE) 2015/1535 du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des règlementations techniques et des règles relatives aux services de la société de l’information, par « service » il faut entendre :

« Tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance (sans que les parties soient simultanément présentes), par voie électronique et à la demande individuelle d’un destinataire de services »

Ces lignes directrices rappellent tout d’abord les principes inhérents aux traitements de données personnelles, et notamment celui de la licéité du traitement (article 6(1) du RGPD), de transparence, ou encore de minimisation des données. Des principes qui doivent toujours être respectés dans la mise en place des traitements de données personnelles.

L’EDPB indique par ailleurs dans son paragraphe 16, que le principe de minimisation joue une place très importante dans les traitements basés sur l’exécution du contrat. En effet, comme le souligne l’EDPB, il serait aisé pour un responsable de traitement d’intégrer au contrat des finalités larges afin de lui permettre de maximiser le traitement des données personnelles, sans tenir compte de ce principe de minimisation des données. Ainsi, comme l’avait déjà rappelé le G29, la finalité de la collecte doit être clairement définie afin d’éviter ces dérives.

L’interprétation stricte du caractère nécessaire

Afin de pouvoir mettre en œuvre le traitement de données personnelles, dans le cadre qui nous intéresse ici, il faut s’assurer que celui-ci est strictement nécessaire à l’exécution du contrat. A titre d’exemple, et comme indiqué dans notre précédent article RGPD : Quelle base juridique pour vos traitements de données à caractère personnel ?, la gestion de la paie est un traitement nécessaire dans le cadre de l’exécution du contrat de travail. De la même manière, le traitement de l’adresse postale de la personne est nécessaire pour qu’un produit commandé puisse être livré, ou encore le traitement des données de paiement afin d’effectuer la transaction.

En outre, comme évoqué précédemment même si plusieurs traitements sont couverts par un contrat, cela ne signifie pas pour autant qu’ils sont automatiquement nécessaires à l’exécution du contrat. En effet, l’exécution du contrat ne peut pas être le fondement juridique sur lequel s’appuyer pour établir le profil d’un utilisateur au regard de ses centres d’intérêts et habitudes de vie à partir de son historique de navigation sur un site internet et des articles qu’il a pu acheter.

Ce traitement peut tout à fait être expressément mentionné dans le contrat, mais il ne devient pas pour autant nécessaire à l’exécution du contrat, car l’objet du contrat n’est pas d’établir un profil mais de fournir un produit ou service. Comme indiqué ci-dessous, il est donc essentiel de déterminer la raison d’être exacte du contrat, afin de vérifier si le traitement des données est nécessaire à l’exécution de celui-ci.

Les clés pour identifier l’exécution du contrat comme fondement du traitement

Au paragraphe 33 des lignes directrices de l’EDPB, sont présentées quatre ensemble de questions que le responsable de traitement doit se poser afin de déterminer si oui ou non le traitement doit être fondé sur l’exécution du contrat :

• Quelle est la nature du service fourni à la personne concernée ? Quelles sont ses caractéristiques distinctives ?
• Quelle est la justification exacte du contrat (c’est-à-dire sa substance et son objet fondamental) ?
• Quels sont les éléments essentiels du contrat ?
• Quelles sont les perspectives et les attentes mutuelles des parties au contrat? Comment le service est-il promu ou annoncé à la personne concernée ? Un utilisateur ordinaire du service peut-il raisonnablement s’attendre à ce que, compte tenu de la nature du service, le traitement envisagé ait lieu pour exécuter le contrat auquel il est partie ?

L’EDPB précise que ces questionnements doivent être menés en amont de la mise en œuvre des traitements.

Si cette analyse démontre que le traitement n’est pas « nécessaire à l’exécution du contrat », c’est-à-dire lorsque le service demandé peut être fourni sans que le traitement envisagé n’ait lieu, une autre base légale devra fonder ce traitement, comme le consentement par exemple (article 6(1)(a)du RGPD). Le lien avec le contrat doit donc être réel, et il n’est pas possible d’attribuer ce fondement juridique à des traitements qui ne sont pas strictement nécessaires et justifiés par l’exécution du contrat.

Afin de traduire ces concepts, l’EDPB propose l’exemple suivant :

« Une personne achète des articles sur un site de e-commerce. L’acheteur souhaite payer par carte de crédit et se faire livrer les produits à son domicile. Afin de remplir le contrat, le vendeur doit traiter les informations relatives à la carte de crédit et l’adresse de facturation de l’acheteur aux fins de paiement, ainsi que l’adresse du domicile de la personne concernée pour la livraison.
Dès lors, l’article 6(1)(b) est applicable en tant que base légale pour ces activités de traitement.

Cependant, si le client lors de sa commande, a opté pour l’envoi de son colis dans un point de retrait, le traitement de l’adresse du domicile de l’acheteur n’est plus nécessaire pour l’exécution du contrat. Par conséquent, une autre base juridique est requise pour fonder ce traitement. »

Ainsi, pour résumer, d’autres bases légales (énoncées à l’article 6(1) du RGPD) peuvent fonder un traitement qui est mis en œuvre en parallèle, à celui ou ceux nécessaires à l’exécution du contrat.

La fin du contrat

A partir du paragraphe 38, l’EDPB adresse ensuite dans ses lignes directrices la question de la résiliation du contrat. En principe, le traitement des données, lorsqu’il est nécessaire à l’exécution du contrat, doit prendre fin à l’issue du contrat. Dès lors, la conservation ultérieure de ces données ne pourra pas être basée sur l’article 6(1)(b) du RGPD.

Il existe des cas où la poursuite du traitement est possible. Il est donc possible de poursuivre le traitement des données à caractère personnel en cas de changement de base juridique au terme de l’exécution du contrat, par exemple si la personne concernée a donné son consentement pour la poursuite du traitement de ses données après la fin du contrat.

De la même manière, le responsable de traitement pourra conserver les données traitées à la fin du contrat, s’il justifie d’un intérêt légitime ou si une obligation légale l’impose. Ces possibilités doivent être prévues en amont de la mise en œuvre du traitement, ce qui implique d’en informer les personnes concernées lors de la collecte des données (paragraphe 42 des lignes directrices).

Voici un second exemple afin d’illustrer ces propos (cf. exemple 3 des lignes directrices) :

« Un service en ligne fournit un service d’abonnement qui peut être annulé à tout moment. Lorsqu’un contrat de service est conclu, le responsable du traitement fournit des informations à la personne concernée sur le traitement de données à caractère personnel.

Le responsable de traitement y explique notamment que, tant que le contrat est en vigueur, il traite les données relatives à l’utilisation du service pour émettre des factures. La base juridique applicable est l’article 6(1)(b), dans la mesure où le traitement destiné à la facturation peut être considéré comme étant objectivement nécessaire à l’exécution du contrat. Cependant, lorsque le contrat est résilié et en supposant qu’il n’existe pas de procédure juridique en attente, ou d’exigence légale pour conserver les données, l’historique d’utilisation sera supprimé.

En outre, le responsable du traitement informe les personnes concernées qu’il est légalement tenu, d’après le droit national, de conserver certaines données à des fins de comptabilité pendant un nombre d’années déterminé. A ce titre, l’article 6(1)(c) constitue la base juridique appropriée (le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis). Ainsi, la conservation de ces données aura lieu même en cas de résiliation du contrat. »

Cas particuliers abordés par l’EDPB

Dans la partie 3 des lignes directrices, l’EDPB fait état de cas particuliers, en indiquant l’applicabilité ou non de l’exécution du contrat comme une base juridique adéquate pour la mise en œuvre de ces traitements. Parmi ces situations spécifiques nous retrouvons ainsi :

• Les traitements pour « l’amélioration des services »

▪ L’EDPB ne considère pas que l’article 6(1)(b) constitue généralement une base juridique appropriée pour le traitement mis en place aux fins d’améliorer un service ou de développer de nouvelles fonctions au sein d’un service existant.

• Les traitements pour « la prévention de la fraude »

▪ Selon l’EDPB, un tel traitement est susceptible d’aller au-delà de ce qui est objectivement nécessaire pour l’exécution d’un contrat conclu avec une personne concernée. Un tel traitement pourrait toutefois encore être licite en s’appuyant sur une autre base juridique comme une obligation légale ou les intérêts légitimes poursuivis par le responsable de traitement.

• Les traitements pour « la publicité comportementale en ligne »

▪ Après quelques développements, l’EDPB finit par conclure que ce type de traitement ne peut pas être fondé sur l’exécution contractuelle, car on ne peut pas affirmer que ce traitement est objectivement nécessaire pour l’exécution du contrat avec l’utilisateur. Ce type de traitement est considéré comme accessoire à la fourniture d’un service en ligne, selon l’EDPB, bien que ce type de traitement puisse toutefois permettre de financer en pratique un certain nombre de services en ligne.

• Les traitements pour « la personnalisation des contenus »

▪ L’EDPB reconnaît que la personnalisation du contenu peut parfois constituer un élément essentiel ou attendu de certains services en ligne, et peut donc être considérée comme nécessaire à l’exécution du contrat avec l’utilisateur du service.
▪ Si toutefois la personnalisation du contenu n’est pas objectivement nécessaire aux fins du contrat, par exemple lorsque la fourniture de contenu personnalisé est destinée à accroître l’engagement de l’utilisateur avec un service mais ne fait pas partie intégrante de l’utilisation du service, les responsables du traitement devraient envisager une base légale alternative le cas échéant.

Des exemples pratiques

Enfin, afin d’accompagner les responsables de traitement dans l’identification du fondement juridique de leur traitement, les lignes directrices de l’EDPB présentent encore un certain nombre d’exemples sur lesquels s’appuyer.

Il nous reste désormais à attendre la publication de la version définitive des lignes directrices afin de constater les apports de la consultation publique.

Pour aller plus loin :

Site de l’EDPB
RGPD : Quelle base juridique pour vos traitements de données à caractère personnel
Lien vers les lignes directrices de l’European Data Protection Board
Directive (UE) 2015/1535 du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des règlementations techniques et des règles relatives aux services de la société de l’information

Je partage

Derniers articles

Anticipez, réagissez, survivez : élaboration d’un PCA/PRA proactif

Face aux menaces multiples, un PCA bien construit peut être la différence entre la survie et l’effondrement de votre entreprise.

Lire l'article

Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion

Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.

Lire l'article