RGPD : Quelle base juridique pour vos traitements de données à caractère personnel ?
Dans la continuité de la directive du 24 octobre 1995, le Règlement Général sur la Protection des Données (RGPD) impose au responsable du traitement qu’il s’assure de la licéité des traitements qu’il met en œuvre.
Concrètement, cela signifie que, dès lors qu’il entreprend un projet impliquant le traitement de données à caractère personnel, le responsable du traitement doit identifier la base juridique appropriée pour le traitement envisagé.
Pourquoi déterminer la base juridique d’un traitement ?
Identifier le fondement juridique d’un traitement de données à caractère personnel est essentiel.
Hormis le fait que cela permet de s’assurer de la licéité du traitement mis en œuvre, la définition de la base juridique participe à l’obligation du responsable du traitement de documenter les traitements afin de prouver leur conformité.
Ensuite, la base juridique du traitement est une information à fournir obligatoirement aux personnes concernées, au moment de collecter leurs données, conformément aux articles 13 et 14 du RGPD ! Cette information sera d’ailleurs adaptée en fonction de la base juridique. Ainsi, si le traitement est fondé sur les intérêts légitimes du responsable du traitement, l’information devra préciser ces intérêts. De la même manière, si le traitement repose sur le consentement de la personne concernée, celle-ci doit être informée de l’existence du droit de retirer son consentement à tout moment.
Enfin, la base juridique du traitement conditionne l’application ou non de certains droits reconnus aux personnes concernées. Par exemple, le droit à la portabilité des données ne s’applique qu’aux traitements basés sur le consentement de la personne ou l’exécution d’un contrat. De la même manière, le droit d’opposition est applicable seulement lorsque le traitement est fondé sur l’exécution d’une mission d’intérêt public ou sur l’intérêt légitime du responsable du traitement.
Bien identifier la base juridique de son traitement
L’article 6 du Règlement décrit les six bases juridiques sur lesquelles le responsable du traitement peut se fonder.
1 – La personne a consenti au traitement de ses données à caractère personnel
Avec l’arrivée du RGPD, on entend et lit beaucoup d’affirmations concernant le consentement, et notamment le fait que le recueil du consentement de la personne concernée est la condition sine qua non du traitement de ses données.
Toutefois, il est important de préciser que le consentement est seulement l’une des six bases juridiques prévues par le règlement sur laquelle peut se fonder un traitement de données à caractère personnel. Ainsi, le RGPD se borne à renforcer et préciser les conditions de validité de recueil du consentement.
Dans les faits, le consentement préalable de la personne concernée est nécessaire pour des cas précis et relativement limités : la prospection commerciale par voie électronique à destination des particuliers, la collecte de données sensibles, la réutilisation des données à d’autres fins, ou encore l’utilisation de cookies pour certaines finalités.
Pour que le consentement soit valablement recueilli, il doit être libre, spécifique, éclairé et univoque.
Le consentement est considéré comme libre dès lors qu’il n’est pas contraint ou influencé. Cela signifie que la personne doit avoir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Par exemple, dans le cadre de la conclusion d’un contrat de service, si la personne ne donne pas son accord pour l’utilisation de ses données à des fins de prospection commerciale par voie électronique, ce refus ne doit pas impacter la fourniture du service.
Pour être spécifique, le consentement doit correspondre à un seul traitement, pour une finalité déterminée. Lorsqu’un traitement comporte plusieurs finalités nécessitant le consentement de la personne concernée, celle-ci doit pouvoir consentir indépendamment pour l’une ou pour l’autre de ces finalités. Pour reprendre l’exemple précédent, la personne doit pouvoir consentir à l’utilisation de ses données pour recevoir de la prospection commerciale seulement de la part de l’organisme auprès duquel elle souscrit le service, sans pour autant consentir à recevoir ces informations de la part des partenaires commerciaux de l’organisme (la case à cocher ne doit pas conduire à consentir à la prospection commerciale à la fois par le responsable de traitement et ses partenaires : deux cases distinctes devront être prévues).
Le recueil du consentement de la personne concernée doit également être éclairé, c’est-à-dire qu’il doit être accompagné d’informations à communiquer à la personne avant qu’elle ne donne son accord au traitement. On retrouve le contenu de cette information aux articles 13 et 14 du RGPD.
Enfin, le consentement de la personne doit être univoque pour être valide. Ainsi, le consentement doit résulter d’un acte positif clair, ne laissant pas de place à une ambiguïté quant à l’expression du consentement. Pour illustrer cette condition, l’inaction (par exemple l’absence de réponse à un courriel sollicitant le consentement) n’est pas considérée comme un recueil de consentement univoque.
Pour information, la personne qui a consenti à un traitement de ses données doit avoir la possibilité de retirer son consentement à tout moment et de manière aussi simple qu’elle l’a donné. Le responsable de traitement, quant à lui, doit conserver la preuve du consentement, afin d’être en mesure de démontrer que la personne a consenti.
2 – Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande
Un traitement de données à caractère personnel est également licite lorsqu’il est nécessaire dans le cadre d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci.
Pour cela, il faut s’assurer que le traitement est strictement nécessaire à l’exécution du contrat. Par exemple, dans le cadre du contrat de travail, la gestion de la paie est un traitement nécessaire. De la même manière, le traitement de l’adresse postale de la personne est nécessaire pour qu’un produit commandé puisse être livré, ou encore le traitement des données de paiement afin d’effectuer la transaction.
Néanmoins, un contrat peut faire l’objet de plusieurs traitements. Ainsi, on peut prendre comme exemple la prospection commerciale liée au contrat de vente, qui constitue un autre traitement.
Toutefois, le fait que plusieurs traitements soient couverts par un contrat ne signifie pas qu’ils sont automatiquement nécessaires à l’exécution du contrat. Par exemple, l’exécution du contrat ne peut pas être le fondement juridique pour établir un profil des centres d’intérêts et des habitudes de vie de l’utilisateur à partir de son historique de navigation sur le site internet et des articles achetés. En effet, même si ce traitement est expressément mentionné dans le contrat, il ne devient pas pour autant nécessaire à l’exécution du contrat, car l’objet du contrat n’est pas d’établir un profil mais de fournir un produit ou service.
Il est donc important de déterminer la raison d’être exacte du contrat, son objectif fondamental, afin de vérifier si le traitement des données est nécessaire à l’exécution du contrat.
3 – Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
Pour être licite, un traitement peut reposer sur le respect d’une obligation légale à laquelle le responsable de traitement est soumis. Une des situations les plus communes concerne par exemple les employeurs qui doivent communiquer des données relatives aux rémunérations de leurs salariés à la sécurité sociale ou à l’administration fiscale.
S’agissant de l’obligation légale, il faut préciser que le responsable de traitement ne doit pas avoir le choix de se conformer ou non à l’obligation. De plus, l’obligation légale elle-même doit être suffisamment claire à propos du traitement de données à caractère personnel qu’elle requiert.
Par conséquent, cette base juridique ne s’applique que lorsque les dispositions juridiques mentionnent explicitement la nature et l’objet du traitement. Le responsable de traitement ne devrait pas avoir de marge d’appréciation quant à la façon de se conformer à l’obligation légale.
4 – Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
Un traitement de données à caractère personnel est également considéré comme licite lorsqu’il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique.
La notion d’« intérêt vital » semble se limiter à des questions de vie ou de mort ou, au moins, à des menaces qui comportent un risque de blessure ou une atteinte à la santé de la personne concernée ou d’une autre personne physique.
On peut prendre comme exemple un traitement de données à caractère personnel dans le cadre d’un transport de passagers par une compagnie aérienne en cas de risque d’épidémie ou d’incident de sûreté notamment.
Toutefois, le groupe de travail de l’article 29 a considéré qu’il convenait de donner à cette base juridique une interprétation restrictive, puisqu’il précise que lorsqu’il est possible et nécessaire de demander un consentement, il faut privilégier l’obtention de ce consentement à chaque fois que la situation le permet.
5 – Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement
Cette base juridique concerne la situation dans laquelle le responsable du traitement est investi d’une autorité publique ou d’une mission d’intérêt public, pour laquelle le traitement est nécessaire. On peut illustrer cette première situation par le cas d’une collectivité locale, comme une administration municipale, chargée de gérer une bibliothèque, une école ou une piscine.
Le responsable du traitement peut ne pas être lui-même investi d’une autorité publique, mais être invité à communiquer des données à un tiers investi d’une telle autorité. Est visée ici la situation d’un responsable de traitement qui doit coopérer avec un agent du service public compétent pour enquêter sur un crime en lui communiquant des données à caractère personnel.
6 – Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée
L’intérêt légitime du responsable de traitement est aussi un fondement juridique applicable pour le traitement de données à caractère personnel. L’intérêt vise l’enjeu poursuivi par le responsable de traitement, ou le bénéfice qu’il tire du traitement. Par exemple, un responsable de traitement peut avoir un intérêt à préserver la santé et la sécurité de son personnel, et pour cela mettre en œuvre un traitement lié à des contrôles d’accès spécifiques conduisant à traiter des données à caractère personnel.
Néanmoins, cette base juridique peut sembler relativement « fourre-tout », puisqu’elle peut s’appliquer dans de nombreux contextes et permettre la mise en œuvre d’un traitement de données à caractère personnel qui ne trouverait pas son fondement parmi les autres bases de l’article 6 du RGPD. Or, il est important de souligner le fait que l’application de ce fondement est subordonnée à la réalisation de plusieurs critères.
Ainsi, pour être considéré comme légitime, l’intérêt du responsable du traitement doit être poursuivi tout en respectant la législation (sur la protection des données à caractère personnel mais également d’autres législations), c’est-à-dire qu’il doit être licite. En outre, l’intérêt poursuivi par le responsable du traitement doit constituer un intérêt réel et présent, il ne doit pas être hypothétique.
L’intérêt légitime du responsable de traitement doit être comparé avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Le résultat de cette mise en balance détermine si l’intérêt du responsable de traitement peut servir de fondement juridique au traitement. Cela nécessite que l’intérêt du responsable du traitement soit formulé en des termes suffisamment clairs pour permettre de le mettre en balance avec l’intérêt ou les droits fondamentaux de la personne concernée.
Pour mettre en balance l’intérêt ou les droits et libertés fondamentaux de la personne concernée avec l’intérêt légitime poursuivi par le responsable du traitement, le critère à évaluer est l’impact du traitement sur la personne concernée. Ainsi, pour apprécier cet impact, pourront notamment être analysés : la nature des données traitées, la façon dont les données sont traitées, les attentes raisonnables des personnes concernées, ou encore le statut du responsable du traitement et de la personne concernée.
Pour en savoir plus :
Avis 06/2014 du G29 sur la notion d’intérêt légitime poursuivi par le responsable du traitement (WP217)
Lignes directrices du G29 sur le consentement (WP 259 rév. 01)
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?