RGPDJuridique

Les dessous de la licéité

Le RGPD oblige dans son article 5-1 à un prélèvement des informations fait de manière licite. Mais, que contient cette notion et quelles en sont les conséquences ?

By Laurie ESTRADE
0

Les dessous de la licéité : la nécessité automatique d’un consentement ?

Le RGPD impose à ce que, pour que le traitement des données personnelles soit valable, il respecte l’obligation de licéité. En d’autres termes, il est nécessaire qu’un fondement légal vient appuyer la collecte.

Mais, quel fondement légal pour ma collecte ? Le RGPD indique que ce peut être le consentement de la personne dont les informations sont recueillies. Quid dans le cas dans lequel le consentement n’a pas été donné ? Le traitement est-il nécessairement interdit ? Quid de la licéité ?

Eclaircissements sur cette notion de consentement qu’est la licéité …

1 – Consentement non requis

Il s’agit ici des cas dans lesquels bien qu’un consentement ne soit pas requis, le traitement des données (renvoyer article général sur ce qu’est un traitement des données) sera tout de même valable. Ces hypothèses sont les suivantes :

  • Le traitement est nécessaire à l’exécution du contrat.

ATTENTION, il faut que le traitement soit VERITABLEMENT nécessaire… En pratique : l’adresse postale pour une livraison est nécessaire à la réalisation du contrat.

Conseil pratique : regardez si sans l’information collectée le contrat peut tout de même être réalisé. Si tel est le cas alors l’information n’est pas nécessaire et le consentement sera obligatoire.

Nota bene : pour être tout à fait exhaustif, le traitement peut également être nécessaire pour la réalisation de mesures précontractuelles

  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

En pratique : à titre d’exemple certaines informations doivent être collectées par l’employeur pour les paies afin d’être transmises aux organismes concernés. Dans ce cas, l’employeur n’aura donc pas à demander le consentement de ses salariés.

  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

En pratique : à titre d’exemple les Médecins vont avoir pour subvenir aux besoins vitaux de leur patient, de certaines informations qui seront également nécessaires en raison de la finalité du contrat.

  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

En d’autres termes, il faut regarder si la raison de la collecte par le responsable du traitement justifie l’atteinte aux droits et libertés fondamentaux de la personne concernée. Il faut effectuer une mise en balance en vue de protéger la personne physique dans la collecte mise en place.

Malheureusement vous ne rentrez dans aucune de ces catégories ?

Vous DEVEZ alors obtenir un consentement.

2 – Consentement requis

 Dès lors que le consentement est requis, vous devez afin que la personne puisse valablement consentir lui donner les informations suivantes :

  •  Identité / coordonnées du responsable du traitement des données
  • Finalité du fichier

La finalité de tout fichier doit être déterminée, légitime et explicite (exemple : vous devez informer la personne que les données qui sont prélevées le seront au titre de la gestion de clientèle, de l’enquête de satisfaction…

  • Destinataires des données

Vous devez être en mesure d’indiquer qui va être le destinataire principal de la donnée mais également de renseigner sur qui va avoir accès aux informations prélevées

  • Caractère obligatoire ou non des réponses

Vous devez informer la personne de la conséquence de son consentement, (si celui-ci entraine un contrat ou non par exemple) mais également des conséquences en cas de défaut de réponse (si le consentement n’est pas donné et que la finalité du prélèvement est contractuel alors le contrat n’est pas conclu et sa réalisation ne pourra avoir lieu).

  •  Droits dont la personne dispose (droit d’accès, droit de rectification, droit d’opposition…)

La possibilité d’exercice de ces droits doit être mentionnée expressément à la personne qui doit consentir.

  •  Transfert des données hors du territoire de l’Union Européenne

Il faut informer la personne de la volonté ou non de transférer ses données à l’extérieur du territoire de l’Union Européenne.

Attention : une fois la personne informée de toutes ces précisions, elle va pouvoir consentir au traitement que vous lui indiquez. Ce consentement ne vaut que pour le traitement énoncé. En d’autres termes, si vous êtes dans l’intention d’en changer les modalités un nouveau consentement devra être demandé (exemple : vous n’aviez pas l’intention dans un premier temps de traiter des données à l’International et voulez à aujourd’hui les transférer à l’extérieur du territoire, vous devez obligatoirement obtenir un nouveau consentement).

3 –  Forme du consentement

L’article 4-11 du règlement Européen énonce qu’il s’agit de : « toute manifestation de volonté libre spécifique éclairée univoque par laquelle la personne accepte, par une déclaration ou acte positif clair que des données à caractère personnel la concernant font l’objet d’un traitement« .

Que faut-il en comprendre ?

Libre + Spécifique + Eclairé + Univoque/ clair

  • Libre : il FAUT laisser un véritable choix à la personne.

En pratique : le fait de ne pas donner son consentement ne doit pas préjudicier à l’accès au service. Le consommateur qui n’a pas donné son consentement doit être traité comme celui qui l’a donné.

  • Spécifique : le consentement au traitement doit être détaché de tout autre consentement.

En pratique : par exemple concernant les CGV : il est obligatoire de distinguer le consentement au CGV du consentement au traitement des données (code couleur, changement d’écriture …) afin que le consommateur comprenne bien à quoi il s’engage.

Nb : il faut retrouver ici la corrélation au principe de transparence….

  •  Eclairé : il est obligatoire de donner à la personne toutes les informations nécessaires pour qu’elle puisse consentir.

Nb : il faut retrouver ici la corrélation au principe de transparence….

  •  Univoque/ clair : le consentement ne doit donner lieu à aucune ambiguïté.  C’est pourquoi les opt out ne sont pas valables, il faut un véritable consentement.

4- Charge de la preuve

Il appartient à l’entreprise qui a collecté les données de prouver que le consentement a été donné dans les conditions requises et non au client de prouver qu’il n’a pas donné son consentement. Il est alors fondamental pour les entreprises de ne mettre en place AUCUNE ambiguïté concernant les conditions qui ont permis l’obtention du consentement.

Nb licéité : si le consentement anciennement donné rempli toutes ces conditions, il n’est pas besoin de demander un nouveau consentement. A contrario, une réitération de consentement est obligatoire.

Continue Reading
More
Juridique

Cyber Resilience Act

Normes & Certifications

Norme ISO 27001

Actus

France Identité & Cybersécurité

Juridique

Loi SREN

Comment

Your email address will not be published.

Articles

Cyber Resilience Act

Norme ISO 27001

France Identité & Cybersécurité

1 of 11