Les bases légales de traitement des données personnelles

Le traitement des données personnelles doit toujours être justifié par une des bases légales prévues par le RGPD. Ces bases légales sont prévues aux articles 6, 9 ou 10 du RGPD.

Le responsable du traitement doit déterminer la base légale qui lui donne le droit de traiter chaque catégorie de données à caractère personnel qu’il collecte. Ceci inclut également les données traitées par un sous-traitant.

I. Bases légales de traitement des données personnelles

L’article 6 du RGPD prévoit six bases légales qui justifient la mise en œuvre du traitement.

Le consentement

La personne concernée peut consentir au traitement. Cela suffit à justifier le traitement pour autant que le consentement soit éclairé, positif, clair, univoque, spécifique et libre.

  • Eclairé : la personne concernée doit avoir reçu les informations nécessaires lui permettant de décider en connaissance de cause.
  • Positif, clair et univoque : le consentement doit être actif et ne doit pas laisser de place à l’incertitude ou l’ambiguïté.
  • Spécifique : le consentement est requis pour chaque finalité de traitement. Il n’est pas possible d’obtenir un consentement global pour toutes les finalités poursuivies par le traitement.
  • Libre : la personne concernée doit avoir la possibilité réelle de refuser ou de retirer son consentement sans subir de préjudice. Un consentement libre suppose donc que la relation entre le responsable du traitement et la personne concernée soit équilibrée. Le recours à cette base légale est donc proscrite dans certains cas, comme par exemple dans le cadre d’une relation de travail.La personne concernée a le droit de retirer son consentement à tout moment. Pour cette raison, cette base ne doit être utilisée que lorsqu’aucune autre base n’est applicable ou lorsqu’une disposition légale le requiert (par exemple, pour l’envoi de newsletter).

Consentement d’un mineur

L’article 8 du RGPD prévoit qu’il est nécessaire de recueillir le consentement du titulaire de la responsabilité parentale pour les enfants de moins de 16 ans (âge qui peut être abaissé à 13 ans dans certains Etats).

La Belgique a abaissé cet âge à 13 ans (article 7, loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard de straitements de données à caractère personnel), la France à 15 ans.

Exemple : traitement des coordonnées pour l’envoi d’une newsletter par email, consentement à la publication de photographies prises lors d’un évènement sur les réseaux sociaux.

L’exécution d’un contrat

Le traitement est justifié si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

Cette base légale ne s’applique qu’aux traitements nécessaires à la fourniture du bien ou du service prévu par le contrat. Le fait que le traitement soit mentionné dans une clause de contrat ou dans des conditions générales ne le rend pas automatiquement justifié par l’exécution du contrat.

Le champ d’application de cette base légale s’étend à la préparation du contrat. Par exemple, lorsqu’un client potentiel pose des questions sur un produit et communique des informations personnelles à cette fin.

Exemple : traitement des coordonnées d’un client après un achat en ligne,  traitement des données bancaires d’un travailleur pour que son employeur puisse lui verser son salaire.

L’obligation légale

Le traitement est justifié s’il est nécessaire pour le respect d’une obligation légale à laquelle le responsable du traitement est soumis.

Exemple : obligations comptables, traitement des données relatives à la rémunération d’un travailleur pour les transmettre à la sécurité sociale ou à l’administration fiscale

L’intérêt légitime

Le traitement est justifié lorsque le responsable de traitement poursuit un intérêt légitime, pour autant que le traitement soit nécessaire à la sauvegarde de cet intérêt légitime.

Il doit veiller à ce que les intérêts qu’il poursuit ne remettent pas en cause les intérêts, les libertés et les droits fondamentaux de la personne concernée.

Si la personne concernée est mineure, il doit redoubler de vigilance.

Le responsable du traitement doit réaliser un test de proportionnalité et s’assurer de l’équilibre entre ses intérêts et ceux de la personne concernée . Il doit prendre en considération les risques que cela représente pour elle, l’impact sur sa vie privée, ses attentes raisonnables, etc.

Le caractère légitime de l’intérêt est présumé lorsque trois conditions sont remplies :

  1. L’intérêt est manifestement licite
  2. Il est déterminé de façon suffisamment claire et précise
  3. Il est réel et actuel pour le responsable du traitement, et non fictif.

Exemple d’intérêt légitime : prévenir de la fraude, garantir la sécurité du réseau, fidélisation des clients 

La protection d’intérêts vitaux

Le traitement est justifié lorsqu’il est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’un tiers.

Exemple : appel aux services d’urgence, traitement des données à des fins humanitaires.

L’exécution d’une mission d’intérêt public

Le traitement est justifié lorsque le responsable est investi d’une mission d’intérêt public ou exerce l’autorité publique.

C’est la législation nationale de chaque Etat qui précise ce qui est considéré comme étant d’intérêt public.

II. Exception: le traitement des données sensibles

Le traitement de données sensibles, c’est-à-dire celles qui révèlent l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou biométriques, l’orientation sexuelle ou les données concernant la vie sexuelle et la santé de la personne concernée, est en principe interdit.

En  Belgique, seules les bases juridiques énoncées à l’article 8 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel peuvent justifier le traitement des données sensibles :

  • la personne concernée a donné son consentement explicite ;
  • la personne concernée a manifestement rendu les informations publique ;
  • les données traitées sont nécessaires à la sauvegarde de la vie humaine ;
  • l’utilisation des données est justifiée par l’intérêt public. L’article 8 de la loi du 30 juillet 2018 définit très précisément les traitement nécessaires pour des motifs d’intérêt public en Belgique ;
  • les données concernent les membres ou adhérents d’une association ou organisation politique, religieuse, philosophique ou syndicale.

III. Pourquoi déterminer les bases légales des traitements effectués ?

  • Les bases légales de traitement doivent être précisées à chaque personnes dont les données sont collectées et traitées (Art. 13 et 14, RGPD)
  • Les droits des personnes concernées par le traitement s’appliquent différemment en fonction de la base légale qui justifie le traitement.
  • L’organisme qui traite des données à caractère personnel sans que le traitement soit justifié par une des bases légales prévues par le RGPD s’expose à des sanctions pouvant aller jusqu’à 4% de son chiffre d’affaire annuel.

Sujets liés

Post Thumbnail
Article(s) du blog
Publié le 13 décembre 2021
En consultant cette page, vous acceptez nos conditions d'utilisation.
Veuillez noter que ce portail de connaissances est toujours en cours de développement.
'.__('Compare', 'e2law').' (1)
'.__('Add one more Document.', 'e2law').'
Effacer la comparaison

Titre

Bascule de la zone de la barre coulissante
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite. Paramètres Accepter

Cookies de suivi

Nous en avons besoin pour rationaliser votre expérience sur notre site Web.