Les responsables du traitement des données doivent s’appuyer sur une «base juridique» pour traiter les données à caractère personnel de manière licite. Il est essentiel d’identifier la base juridique appropriée car elle peut être assortie d’exigences spécifiques (par exemple, le consentement doit être libre, spécifique, informé et sans ambiguïté) et avoir des conséquences sur les droits des individus (par exemple, le droit à la portabilité ne s’applique que lorsque la base juridique est le consentement ou un contrat).
Sur cette page, vous trouverez plus d’informations sur les différentes bases juridiques du RGPD. En savoir plus sur les droits qui s’appliquent par base juridique.
Quelles sont les bases juridiques possibles en vertu du RGPD?
Les responsables du traitement des données ne peuvent traiter des données à caractère personnel que dans l’une des circonstances suivantes:
- avec le consentement des personnes concernées;
- en cas d’obligation contractuelle (contrat entre votre organisation et un particulier);
- pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
- lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
- pour protéger les intérêts vitaux d’un individu;
- pour les intérêts légitimes de votre organisation (sauf si les intérêts ou les droits fondamentaux des individus prévalent sur ceux-ci).
En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.
Consentement
Votre organisation peut décider de se fier au consentement pour le traitement des données à caractère personnel.
Si un responsable du traitement utilise le consentement comme base juridique pour le traitement des données à caractère personnel, il doit veiller à ce que ce consentement soit donné librement, informé, spécifique et univoque. Cela signifie que les personnes doivent avoir un choix véritablement libre quant à savoir si elles sont ou non d’accord avec le traitement de leurs données à caractère personnel; elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et comment cela est fait; et elles doivent pouvoir retirer librement leur consentement (sans conséquences négatives) si elles changent d’avis plus tard.
Si l’organisation doit traiter les données et ne peut pas réellement permettre aux individus de retirer leur consentement, c’est une indication que le consentement n’est pas la base juridique appropriée du traitement, et il est nécessaire d’évaluer si une autre base juridique pourrait s’appliquer.
Conditions du consentement
Gratuit
Le consentement est donné librement lorsque les individus sont en mesure de refuser et de retirer leur consentement sans risque de pression extérieure ou de conséquences négatives. Les individus doivent également avoir le droit de retirer leur consentement à tout moment; ce processus doit être facilité pour les individus (aussi facilement qu’il était de le fournir). Le retrait du consentement ne doit pas affecter le traitement des données personnelles de la personne qui a été effectué avant ce retrait, lorsque le consentement était toujours valide.
Par exemple, en principe, les employés ne seront pas en mesure de donner librement leur consentement au traitement effectué par leur employeur, car les employés peuvent se sentir incapables de refuser la demande de leur employeur.
Spécifique
Pour que le consentement soit valide, il doit également être spécifique à la finalité du traitement. Cette condition est étroitement liée à la condition du consentement éclairé: les personnes doivent être informées des finalités spécifiques dans un langage clair et facile à comprendre, de sorte qu’elles aient une idée claire des finalités pour lesquelles leurs données sont traitées. Cela signifie également que si les finalités de l’opération de traitement changent ou si des opérations de traitement supplémentaires sont ajoutées, il convient de demander à nouveau aux particuliers leur consentement. De même, si une opération de traitement a des finalités multiples, le consentement doit être donné pour chacun d’eux.
Par exemple, un service de streaming collecte les données personnelles de ses clients pour leur proposer des suggestions de visualisation personnalisées. Après un certain temps, le service de streaming décide de partager les données personnelles de ses clients avec des tiers afin qu’ils puissent envoyer des publicités ciblées aux clients en fonction de leurs habitudes de visualisation. Comme il s’agit d’un nouvel objectif, le service de streaming devra demander le consentement de son client.
Informé
Lorsque vous demandez le consentement d’une personne, votre organisation doit s’assurer que cette demande lui est communiquée sous une forme compréhensible et facilement accessible, en utilisant un langage clair et simple. Il convient de fournir des informations sur les finalités, l’identité du responsable du traitement, les catégories de données, les destinataires et le droit de retirer le consentement.
Univoque
Pour que le consentement ne soit pas ambigu, il devrait y avoir une action positive claire de la part de la personne qui consent (sans cases précochées et de manière séparée aux conditions générales applicables).
Il est recommandé d’actualiser le consentement à intervalles appropriés. En outre, vous devez être en mesure de démontrer que la personne dont les données sont traitées a donné son consentement, par exemple par une déclaration écrite ou signée, ou par une action délibérée comme cocher une case.
Conditions applicables au consentement des enfants
En tant que responsable du traitement des données, vous devez faire des efforts raisonnables pour vérifier l’âge de la personne.
Les enfants âgés de 16 ans et plus sont considérés comme capables de donner leur propre consentement.
Pour les enfants de moins de 16 ans, votre organisation doit demander le consentement du tuteur légal ou du parent de cet enfant. Dans ce cas, vous devrez faire des efforts raisonnables pour vérifier que la personne consentant au nom de l’enfant a la responsabilité parentale. Veuillez noter, cependant, que le RGPD donne aux pays de l’UE la possibilité, par le droit national, de fixer l’âge du consentement entre 13 et 16 ans lorsque les services sont fournis via Internet. Par conséquent, il est conseillé de vérifier vos dispositions nationales en la matière.
Lorsque le consentement peut être donné par les enfants, la langue utilisée pour communiquer les informations relatives au service devrait être adaptée à leur âge.
Exécution d’un contrat
Le traitement des données personnelles d’une personne pour l’exécution d’un contrat constitue une base juridique valable, par exemple dans les cas suivants:
- Votre organisation doit traiter les données personnelles d’une personne pour fournir un service.
- Un client potentiel ou un client vous a demandé de faire quelque chose avant de conclure un contrat avec votre organisation, par exemple, il peut souhaiter recevoir un devis pour les services que vous fournissez, pour lesquels vous devrez peut-être traiter certaines de leurs données personnelles.
Le traitement doit être nécessaire à l’exécution d’un contrat. Dans la pratique, cela signifie que votre organisation ne peut pas procéder à l’exécution du contrat ou du service sans les données personnelles en question. Il est recommandé à votre organisation de documenter les raisons expliquant pourquoi le traitement des données d’une personne est nécessaire à l’exécution d’un contrat.
En outre, vous devez essayer de collecter le moins de données personnelles possibles nécessaires à l’exécution du service contractuel ou pour prendre des mesures précontractuelles pertinentes. En particulier, vous ne pouvez pas utiliser le contrat pour élargir artificiellement les catégories de données à caractère personnel ou les types d’opérations de traitement. Au contraire, vous devez vous assurer qu’il existe une véritable compréhension mutuelle de la finalité contractuelle, basée sur les attentes d’un individu moyen lors de la conclusion du contrat.
Cette base juridique peut également s’appliquer à certaines actions liées à la garantie contractuelle, ainsi qu’à certaines actions raisonnablement prévisibles et nécessaires dans le cadre d’une relation contractuelle normale, telles que l’envoi de rappels formels sur les paiements dûs ou la correction d’erreurs ou de retards dans l’exécution du contrat.
Toutefois, cette base juridique ne s’applique pas si vous souhaitez traiter les données personnelles d’une personne à des fins de marketing, de prévention de la fraude, de publicité ciblée ou de toute autre finalité liée au modèle commercial de votre organisation. Dans de tels cas, d’autres bases juridiques peuvent être disponibles, telles que le consentement ou l’intérêt légitime, pour autant que les critères pertinents soient remplis.
Les législations peuvent également imposer le traitement des données à caractère personnel, même après la résiliation du contrat (par exemple, pour tenir des registres à des fins comptables).
Naturellement, le contrat doit également être valable en vertu de la loi applicable.
Dans la pratique
- Vous êtes une entreprise qui vend des vêtements, à la fois en ligne et dans une boutique, vous devrez peut-être traiter certaines des données personnelles de vos clients, telles que les détails de la carte de crédit, pour pouvoir traiter les achats effectués par vos clients pour vos vêtements. Dans ce cas, le traitement des données personnelles des clients peut être nécessaire à l’exécution d’un contrat.
- Vous êtes une entreprise offrant une assurance habitation. Un client potentiel a demandé un devis pour son assurance habitation. En tant que tel, certaines de leurs données personnelles peuvent être nécessaires pour que vous leur fournissiez un prix précis pour leur assurance habitation.
- Vous êtes une entreprise qui vend des livres, que certains de vos clients ont achetés. Lorsque ces clients ont acheté ces livres, vous avez peut-être recueilli certaines de leurs données personnelles, ce qui était nécessaire pour traiter la transaction. Vous souhaitez maintenant traiter les données personnelles de ces clients, y compris les données relatives à leurs achats précédents, afin de recommander d’autres livres qu’ils pourraient aimer. Vous ne pouvez pas invoquer l’exécution d’un contrat en tant que base juridique pour ce traitement de données personnelles car le traitement des données des clients afin de faire de la publicité pour d’autres livres n’est pas nécessaire à l’exécution d’un contrat.
En tant que tel, votre entreprise devra demander le consentement des clients pour pouvoir leur annoncer d’autres livres ou, selon les circonstances, pourra se fier à son intérêt légitime.
Respect d’une obligation légale du responsable du traitement
Le RGPD prévoit une autre base juridique, à savoir: le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement des données est soumis.
Cette base juridique peut être invoquée lorsqu’une opération de traitement est imposée à une organisation par la législation nationale ou de l’UE. Plus précisément, quatre conditions doivent être remplies:
- L’obligation légale doit être définie par le droit de l’Union ou le droit national auquel le responsable du traitement est soumis;
- ces dispositions légales doivent établir une obligation claire et spécifique de traiter ces données à caractère personnel;
- ces dispositions doivent au moins définir les finalités du traitement;
- cette obligation devrait être imposée au responsable du traitement et non aux personnes concernées.
Si ces conditions ne sont pas remplies, le traitement ne peut pas être fondé sur l’obligation légale, et une autre base juridique doit être recherchée.
Le RGPD prévoit de nombreuses circonstances différentes dans lesquelles les responsables du traitement des données sont légalement tenus de traiter les données personnelles de leurs clients ou de leurs clients. Par exemple, les employeurs doivent généralement traiter les données personnelles de leurs employés à des fins de sécurité sociale, ou une entreprise doit souvent traiter les données personnelles de ses clients ou de ses clients à des fins fiscales.
En savoir plus
Intérêts vitaux d’un individu
Le traitement des données pour protéger les intérêts vitaux d’une personne ne peut être invoqué que dans des cas rares et spécifiques. Cela peut être le cas, par exemple, si vous avez besoin de traiter des données personnelles pour protéger la vie de quelqu’un. Toutefois, sur la base du RGPD, cette base juridique a une portée très limitée et ne peut être invoquée qu’en cas d’urgence.
Dans la pratique
Votre organisation vous propose des voyages de rafting. Lors de l’un des voyages que vous avez organisés, l’un des participants est grièvement blessé. En conséquence, le participant est inconscient et doit recevoir des soins médicaux urgents dans un hôpital. En tant qu’organisation, vous devrez peut-être communiquer (= traiter) les données personnelles de ce participant à l’hôpital qui doit les traiter pour sauver sa vie. Dans ce contexte, vous pourriez être en mesure de traiter les données de cette personne pour protéger son intérêt vital.
Intérêt public
Dans certains cas spécifiques, votre organisation peut être en mesure de traiter les données personnelles des personnes pour une tâche effectuée dans l’intérêt public. Dans ce cas, le traitement doit avoir une base en droit de l’UE ou en droit national. Sa finalité doit être déterminée dans cette base juridique ou être nécessaire à l’exécution d’une mission effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dévolue au responsable du traitement. Par conséquent, cette base juridique peut être pertinente, en particulier, pour les opérations de traitement effectuées par les autorités publiques aux fins de l’accomplissement de leurs tâches.
Dans la pratique
Votre organisation est un cabinet médical, qui comprend un dentiste et un médecin généraliste. Vous devrez peut-être traiter les données personnelles du dentiste et du médecin généraliste pour vous assurer que leurs qualifications, leur conduite morale et éthique répondent aux normes établies dans le pays où se trouve votre cabinet médical.
Intérêt légitime
Votre organisation peut être en mesure de traiter les données personnelles pour des questions d’intérêts légitimes, à condition que ces intérêts (commercial, protection de votre propriété, etc.) ne créent pas un déséquilibre au détriment des droits et intérêts des individus.
Si le RGPD et la jurisprudence pertinente de la Cour de justice de l’Union européenne (CJUE) fournissent des exemples d’intérêts légitimes, il n’existe pas de liste exhaustive.
Toutefois, vous devez vous assurer que cet intérêt respecte un certain nombre d’exigences:
- il doit être licite, clair, réel et présent;
- le traitement doit être nécessaire à la poursuite de cet intérêt;
- l’intérêt légitime doit tenir compte des droits à la protection des données de l’individu, qui ne peuvent être ignorés. Dans le cadre de cette exigence, le responsable du traitement doit mettre en balance son intérêt légitime et les intérêts ou libertés et droits fondamentaux des personnes et doit également examiner ce à quoi ils peuvent raisonnablement s’attendre. Cet exercice d’équilibrage doit être effectué à la lumière des conditions concrètes dans lesquelles ces opérations sont effectuées.
Dans la pratique
Vous dirigez une entreprise de rénovation. L’un de vos clients conteste la qualité d’une rénovation de cuisine et refuse de payer la facture en totalité. Dans un premier temps, vous transférez les données du client à votre avocat afin de négocier un règlement avec le client. Comme le client refuse toujours de payer, vous engagez une agence de recouvrement de créances. Vous ne transférez que les données personnelles nécessaires pour la procédure à l’agence de recouvrement de créances et l’agence n’effectue que des contrôles limités pour confirmer les coordonnées du client et engager une procédure judiciaire.
Bien que la première étape puisse encore relever du traitement nécessaire à l’exécution d’un contrat, d’autres mesures prises, telles que l’engagement d’une agence de recouvrement de créances, pourraient être considérées comme relevant de l’intérêt légitime du responsable du traitement. Étant donné que les mesures prises par l’agence ne sont pas trop intrusives et que l’impact sur le client est limité, l’intérêt légitime pourrait constituer une base juridique appropriée.
Traitement des données à caractère personnel sensibles
Des exigences supplémentaires s’appliquent si vous avez l’intention de traiter des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ou encore des données génétiques, des données biométriques aux fins d’identification unique d’une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Ces catégories spéciales de données sont communément appelées «données sensibles».
Le traitement de données sensibles est généralement interdit, sauf dans les cas spécifiques suivants.
- La personne a donné son consentement explicite pour le traitement de ses données sensibles.
- Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
- Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est laissée inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses catégories particulières de données personnelles peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
- Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
- Les données sensibles ont été manifestement rendues publiques par des individus.
- Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
- Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
- Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
- Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
- Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public ou à des fins scientifiques, statistiques, historiques ou de recherche. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier.
Checklist pour le traitement des données à caractère personnel sensibles
- Demandez-vous si vous devez traiter les catégories particulières de données personnelles d’un individu pour le traitement envisagé.
- Identifier la base juridique (= justification légale) pour le traitement des données personnelles. Vous devez vous référer à l’article 6 du RGPD.
- Déterminer si les conditions supplémentaires pour le traitement des données sensibles sont respectées. Vous devez vous référer à l’article 9 du RGPD.
- Identifier les risques et les garanties en matière de protection des données, telles que les mesures techniques et organisationnelles, que votre organisation pourrait devoir mettre en place lors du traitement des catégories particulières de données à caractère personnel.
- N’oubliez pas de consigner les raisons pour lesquelles vous traitez les catégories particulières de données personnelles, les risques que cela peut entraîner et les mesures que vous avez mises en place pour atténuer ces risques.