RGPD: le régime d’autorisation

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement :

  • Principe
    • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
      • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
      • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
  • Exception
    • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

  • Principe : le régime de déclaration
    • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
    • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
    • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
      • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
      • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
      • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
      • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
      • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
  • Exception : le régime d’autorisation
    • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
      • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
      • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
      • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
      • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Conformément au RGPD, la loi de transposition du 20 juin 2018 a simplifié, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, pour certains types de traitements ou dans certaines matières, en raison de la sensibilité particulière des données traitées, des articles spécifiques du RGPD autorisent des régimes dérogatoires nationaux pouvant inclure des formalités, au titre de garanties ou de conditions supplémentaires.

Il en va ainsi notamment pour le traitement :

  • Des données génétiques, des données biométriques ou des données concernant la santé (article 9, § 4, du RGPD) ;
  • Des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (article 10 du RGPD) ;
  • Effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique (article 36, § 5, du RGPD) ;
  • D’un numéro d’identification national ou de tout autre identifiant d’application générale (article 87 du RGPD) ;
  • Des données à caractère personnel mis en œuvre pour le compte de l’Etat et qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ;

L’article 29 de la loi informatique et libertés précise que les actes autorisant la création d’un traitement précisent :

  • La dénomination et la finalité du traitement ;
  • Le service auprès duquel s’exerce le droit d’accès défini au chapitre VII ;
  • Les catégories de données à caractère personnel enregistrées ;
  • Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
  • Le cas échéant, les dérogations à l’obligation d’information prévues au V de l’article 32.

La CNIL se prononce alors dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

L’avis demandé à la commission sur un traitement, qui n’est pas rendu à l’expiration du délai de deux mois, est réputé favorable.

RGPD: l’obligation de notifier les violations de données

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

I) La notification des violations de données à l’autorité de contrôle

A) Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

B) Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

II) La notification des violations de données aux personnes concernées

A) Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.
  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

B) Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.

RGPD: l’obligation de sécurisation des données à caractère personnel

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de sécurisation des données.

I) La définition de la politique de sécurité

==> Le contenu du dispositif

L’une des exigences du RGPD est que les données à caractère personnel soient traitées de façon à garantir un niveau de sécurité approprié desdites données, et notamment à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Cette exigence rejoint celle posée à l’article 34 de la loi informatique et libertés qui énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

A cet égard, l’article 32, 1 du RGPD prévoit que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Ces mesures doivent être prises en considération de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques

Surtout, il est par ailleurs précisé que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

==> La finalité du dispositif

D’abord, le considérant 39 du RGPD prévoit que les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Ensuite, il ressort du considérant 87 que, s’il doit être vérifié que toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre, c’est pour établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

Au fond, l’un des éléments clés de toute politique de sécurité des données est d’être en mesure de prévenir toute violation dans la mesure du possible et, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

==> Méthodologie

L’article 32 du RGPD prévoit, pour rappel, que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Pour la CNIL, une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Aussi, afin de permettre aux responsables de traitements de données de définir leur politique de gestion des risques, la CNIL a-t-elle mis au point une métrologie qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Cette méthodologie consiste en une démarche à suivre qui comporte six étapes :

  • Première étape
    • Elle consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
      • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
      • Les logiciels (ex : système d’exploitation, logiciel métier) ;
      • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
      • Les supports papier (ex : document imprimé, photocopie).
  • Deuxième étape
    • Elle consiste à identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
      • Accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
      • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
      • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Troisième étape
    • Elle consiste à identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Quatrième étape
    • Elle consiste à identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
      • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
      • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
      • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
      • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
      • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
      • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Cinquième étape
    • Elle consiste à déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Sixième étape
    • Elle consiste à estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

II) La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

A) La notification des violations de données à l’autorité de contrôle

  1. Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

2. Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

B) La notification des violations de données aux personnes concernées

  1. Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.

  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

2. Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.

RGPD: les concepts de privacy by design et de privacy by default

Le RGPD a introduit deux nouveaux concepts dans le corpus normatif qui organise la protection des données à caractère personnel : le privacy by design et le privacy by default

S’agissant du concept de privacy by design, il est porteur de l’idée que le responsable du traitement doit adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception du traitement

S’agissant du concept de privacy by default, il signifie que le responsable du traitement doit assurer aux personnes concernées, par défaut, le plus haut niveau de protection, ce qui implique que des mesures de sécurité et de protection soient prises de façon systématique en cas de traitement portant sur des données à caractère personnel

Ces deux concepts sont énoncés à l’article 25 du RGPD qui les envisage séparément.

I) Les mesures prises au titre du privacy by design

L’article 25, 1 du RGPD prévoit que le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection élevée des données à caractère personnelles.

Selon le considérant 78, ces mesures techniques et organisationnelles peuvent consister à:

  • Réduire à un minimum le traitement des données à caractère personnel
  • Pseudonymiser les données à caractère personnel dès que possible
  • Garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel
  • Permettre à la personne concernée de contrôler le traitement des données
  • Permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.

Les mesures techniques et organisationnelles doivent être prises au regard de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques,

Le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données.

II) Les mesures prises au titre du privacy by default

L’article 25, 2 du RGPD prévoit que, au titre du privacy by default, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cela s’applique à :

  • La quantité de données à caractère personnel collectées
  • L’étendue de leur traitement
  • Leur durée de conservation
  • Leur accessibilité

En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

III) La preuve des exigences de privacy by design et de privacy by default

L’article 25 dispose que, un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences requises au titre du privacy by design et du privacy by default.

A cet égard, l’article 42 prévoit que les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement.

RGPD: l’analyse d’impact relative à la protection des données (DPIA)

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de réaliser une analyse d’impact.

I) Notion

Lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD met à la charge du responsable du traitement une obligation de réalisation d’une étude d’impact relative à la protection des données (DPIA – Data Protection Impact Assessment – Analyse d’impact relative à la protection des données – AIPD ou PIA)

En somme, l’analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

Lorsque, par exemple, il ressort d’une analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, l’autorité de contrôle doit alors être consultée avant que le traitement n’ait lieu.

De toute évidence, l’analyse d’impact est un outil important au regard du principe de responsabilité, compte tenu de son utilité pour le responsable du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne sa capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement

Ainsi, l’analyse d’impact s’apparente-t-elle à un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

II) Étendue de l’obligation

Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une analyse d’impact pour chaque opération de traitement.

Une AIPD n’est requise que lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

A cet égard, il ressort de l’article 35 du RGPD qu’il convient de distinguer les cas où l’analyse d’impact est obligatoire et les cas où elle est seulement facultative

A) L’analyse d’impact obligatoire

Il convient de distinguer les traitements qui sont intervenus avant l’entrée en vigueur du RGPD de ceux mis en œuvre après

  1. Les traitements intervenus postérieurement à l’entrée en vigueur du RGPD

Une analyse d’impact doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

A cet égard, trois cas doivent être distinguées :

  • Soit le traitement correspond à l’un des cas envisagés par le RGPD
  • Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact
  • Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

==> Le traitement correspond à l’un des cas envisagés par le RGPD

L’article 35,3 du RGPD prévoit que la réalisation d’une étude d’impact est obligatoire dans trois cas :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Dans ces trois cas, le texte pose une véritable présomption irréfragable de risque élevée d’atteinte aux droits et libertés de la personne concernée par le traitement.

==> Le traitement correspond à l’un des cas envisagés par la CNIL

Comme le laisse entendre la locution « en particulier » dans le 3 de l’article 35 du RGPD, la liste ainsi posée n’est pas exhaustive.

Aussi, même si elles ne figurent pas dans cette liste, d’autres opérations de traitement sont susceptibles de rendre obligatoire la réalisation d’une analyse d’impact, dès lors que le traitement présente un risque élevé.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé ».

Pour la CNIL, un « risque sur la vie privée » est un scénario décrivant :

  • Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
  • Toutes les menaces qui permettraient qu’il survienne.

Ce risque est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.

Afin de faciliter la tâche des responsables de traitement, la CNIL a établi une liste des traitements qui sont irréfragablement présumés présenter un risque élevé pour les droits et libertés des personnes concernés. Il en résulte que la réalisation d’une analyse d’impact pour ces traitements est obligatoire, alors même qu’ils ne sont pas expressément visés par le RGPD :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
    • Traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.) :
      • Dossier « patients »
      • Algorithmes de prise de décision médicale
      • Dispositifs de vigilances sanitaires et de gestion du risque
      • Dispositifs de télémédecine
      • Gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur, etc.
    • Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
    • Mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques
    • Traitement utilisé pour la gestion d’une consultation de génétique dans un établissement de santé
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
    • Traitement de détection et de gestion de « hauts potentiels »
    • Traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection
    • Traitement visant à proposer des actions de formations personnalisées grâce à un algorithme
    • Traitement visant détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
    • Dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention)
    • Vidéosurveillance portant sur les employés manipulant de l’argent
    • Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires
    • Chronotachygraphe des véhicules de transport routier.
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
    • Dispositif de signalement de mineurs en danger
    • Traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire
    • Dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
    • Dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés
    • Dispositif de recueil de signalements concernant des faits de trafic d’influence ou de corruption commis au sein de l’organisme
    • Dispositif d’alerte mis en œuvre dans le cadre du devoir de vigilance.
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
    • Entrepôt de données de santé mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche.
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
    • Traitement établissant un score pour l’octroi de crédit
    • Traitement reposant sur une analyse comportementale visant à détecter des comportements « interdits » sur un réseau social
    • Traitement de lutte contre la fraude aux moyens de paiement.
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
    • Traitement recensant les impayés et souscriptions irrégulières partagé par un secteur d’activité
    • Traitement des résiliations automobiles qui permet aux sociétés d’assurances de vérifier les antécédents d’un futur assuré lors de la demande de souscription d’un contrat d’assurance automobile.
  • Traitements de profilage faisant appel à des données provenant de sources externes
    • Combinaison de données opérée par des courtiers en données (data brokers)
    • Traitement visant à personnaliser les publicités en ligne
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
    • Traitement basé sur la reconnaissance de l’empreinte digitale ayant pour finalité le contrôle de l’identité des patients
    • Contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main
  • Instruction des demandes et gestion des logements sociaux
    • Traitement visant à permettre l’instruction des demandes de logement social en location ou en accession à la propriété.
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
    • Traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle
    • Traitement mis en œuvre par les maisons départementales des personnes handicapées dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes
    • Traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.
  • Traitements de données de localisation à large échelle
    • Application mobile permettant de collecter les données de géolocalisation des utilisateurs
    • Fourniture d’un service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes
    • Base de données « clients » des opérateurs de communication électronique
    • Mise en œuvre d’un système de billettique par des opérateurs de transport.

==> Le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29

Dès lors que le traitement remplit au moins deux des neufs critères posés par le Groupe de l’article 29, il est réputé faire peser un risque élevé pour les droits et libertés de la personne concernée.

Au nombre de ces critères figurent :

  • Évaluation/scoring (y compris le profilage)
    • Sont visées en particulier les activités portant sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements
  • Décision automatique avec effet légal ou similaire
    • Il s’agit du traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
  • Surveillance systématique
    • Est ici notamment visé le traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public
  • Collecte de données sensibles ou données à caractère hautement personnel
    • Il s’agit de catégories particulières de données à caractère personnel visées à l’article 9 du RGPD (informations concernant les opinions politiques des personnes, par exemple) ainsi que des données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10
  • Collecte de données personnelles à large échelle
    • Pour déterminer si le traitement est effectué à grande échelle, le GT29 recommande de prendre en compte, en particulier, les facteurs suivants :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en proportion de la population considérée ;
      • Le volume de données et/ou l’éventail des différents éléments de données traitées ;
      • La durée ou la permanence de l’activité de traitement de données ;
      • L’étendue géographique de l’activité de traitement
  • Croisement ou combinaison d’ensembles de données
    • Ils peuvent être issus de deux opérations de traitement de données, ou plus, effectuées à des fins différentes et/ou par différents responsables du traitement, d’une manière qui outrepasserait les attentes raisonnables de la personne concernée
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.)
    • le traitement de ce type de données est un critère en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir, ou de s’opposer, aisément au traitement de leurs données ou d’exercer leurs droits. P
  • Usage innovant (utilisation d’une nouvelle technologie)
    • Utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques, etc.
  • Exclusion du bénéfice d’un droit/contrat
    • Ces traitements incluent notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat

Dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une analyse d’impact.

D’une manière générale, le Groupe de l’article 29 estime que plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et par conséquent de nécessiter une analyse d’impact, quelles que soient les mesures que le responsable du traitement envisage d’adopter.

Néanmoins, dans certains cas, le responsable du traitement peut considérer que même si son traitement ne satisfait qu’à un seul de ces critères, il requiert malgré tout une AIPD.

2. Les traitements intervenus antérieurement à l’entrée en vigueur du RGPD

Lorsque le traitement est intervenu avant l’entrée en vigueur du RGPD, la CNIL considère qu’une étude d’impact ne sera pas exigée pour :

  • Les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité.
  • Les traitements qui ont été consignés au registre d’un correspondant informatique et libertés

Cette dispense d’obligation de réaliser une analyse d’impact, pour les traitements existants et régulièrement mis en œuvre, est limitée à une période de 3 ans.

Cela signifie que, à l’issue de ce délai, les responsables de traitement doivent avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé, soit :

  • Pour tout nouveau traitement mis en œuvre après le 25 mai 2018
  • Pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL
  • Pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

B) L’analyse d’impact facultative

Selon la CNIL, l’analyse d’impact n’est pas requise dans les cas suivants :

  • Quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • Lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
  • Quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve que les conditions suivantes soient remplies :
    • Qu’il ait une base juridique dans le droit de l’UE ou le droit de l’État membre ;
    • Que ce droit règlemente cette opération de traitement ;
    • Qu’une AIPD ait déjà été menée lors de l’adoption de cette base juridique ;
  • Quand le traitement correspond à une exception déterminée par la CNIL conformément à l’article 35(5). La CNIL adoptera prochainement la liste de ces exceptions, après consultation du CEPD (Comité européen de protection des données).

III) Le contenu de l’analyse d’impact

En vertu de l’article 35 du RGPD, l’analyse d’impact doit contenir plusieurs éléments que sont :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Le respect d’un code de conduite (article 40) doit être pris en compte (article 35, paragraphe 8) lors de l’évaluation de l’impact d’une opération de traitement de données.

Ceci peut être utile pour démontrer que des mesures adéquates ont été choisies ou mises en place, à condition toutefois que le code de conduite soit approprié pour l’opération de traitement considérée.

Il convient également de prendre en compte les garanties que représentent les certifications, labels et marques destinés à démontrer la conformité au RGPD des opérations de traitement effectuées par les responsables du traitement et les sous-traitants (article 42) ainsi que l’application de règles d’entreprise contraignantes (REC).

IV) La réalisation de l’analyse d’impact

==> Les intervenants à l’analyse d’impact

  • Le responsable du traitement
    • La responsabilité de veiller à ce qu’une analyse d’impact soit effectuée incombe d’abord au responsable du traitement
    • Elle peut également être réalisée par quelqu’un d’autre, à l’intérieur ou à l’extérieur de l’organisation, mais le responsable du traitement reste responsable en dernier ressort de cette tâche.
  • Le délégué à la protection des données
    • Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement a l’obligation de demander conseil au délégué à la protection des données, si un tel délégué a été désigné.
  • Le sous-traitant
    • Le considérant 95 du RGPD précise que, en cas de sous-traitance, le sous-traitant doit aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de l’autorité de contrôle.
  • Les personnes concernées
    • Le responsable du traitement doit demander l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement
    • Pour le Groupe de l’article 29, cet avis peut être recueilli par divers moyens, selon le contexte (par ex. une étude générique en lien avec les finalités et les moyens de l’opération de traitement, un questionnaire soumis aux représentants du personnel, ou des enquêtes de type habituel envoyées aux futurs clients du responsable du traitement).
    • En tout état de cause, le responsable du traitement doit s’assurer de s’appuyer sur une base juridique pour le traitement de toutes données à caractère personnel impliquées dans cette collecte d’avis.

A défaut, le responsable du traitement doit justifier toute décision de ne pas recueillir l’avis des personnes concernées s’il juge la démarche inappropriée, en estimant par exemple que cela compromettrait la confidentialité de plans d’affaires ou serait disproportionné ou irréalisable.

==> Objet de l’analyse d’impact

L’article 35 du RGPD prévoit qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

La CNIL illustre cette règle en prenant deux exemples :

  • Des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts
  • Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans plusieurs gares.

==> Méthodologie de conduite de l’analyse d’impact

Pour la CNIL, l’analyse d’impact se décompose, au fond, en trois parties :

  • Première partie
    • La description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  • Deuxième partie
    • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • Troisième partie
    • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

La mise en œuvre de ces trois étapes doit répondre à une certaine méthodologie.

A cet égard, la CNIL préconise de suivre la méthodologie générale suivante :

  • Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  • Formaliser la validation de l’analyse d’impact au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

V) La communication de l’analyse d’impact à la CNIL

A) Principe

La communication de l’analyse d’impact à l’autorité de contrôle qu’est la CNIL n’est pas une obligation, à tout le moins le RGPD ne l’exige pas.

Comme tout principe celui-ci n’est, cependant, pas sans être assorti d’exceptions.

B) Exceptions

==> Énoncé des exceptions

L’analyse d’impact doit être communiquée à la CNIL pour consultation dans trois cas :

  • Si le traitement présente un risque élevé d’atteinte aux droits et libertés de la personne concerne
  • La consultation de la CNIL est prévue par un texte spécifique
  • En cas de demande de la CNIL

==> Cas particulier du risque élevé d’atteinte pour les droits et libertés de la personne concernée

  • Principe
    • L’article 36 du RGPD pris en son §1 prévoit que le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  • Mise en œuvre
    • En cas de consultation de la CNIL sur ce fondement, le responsable du traitement doit lui communiquer :
      • Le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises ;
      • Les finalités et les moyens du traitement envisagé ;
      • Les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement ;
      • Le cas échéant, les coordonnées du délégué à la protection des données ;
      • L’analyse d’impact relative à la protection des données prévue à l’article 35 ;
      • Toute autre information que l’autorité de contrôle demande.
  • Décision
    • Lorsque l’autorité de contrôle est d’avis que le traitement envisagé constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58 (pouvoir d’enquête et d’injonction).
    • Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé.
    • L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation.
    • Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

RGPD: le registre des activités de traitement

L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles mis en œuvre par le responsable du traitement et permettre d’identifier précisément :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • Les catégories de données traitées,
  • A quoi servent ces données (ce que qu’on en fait), qui accède aux données et à qui elles sont communiquées,
  • Combien de temps les données collectées sont conservées,
  • Comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données

I) Les personnes chargées de tenir le registre

Il ressort de l’article 30, 5 du RGPD que l’obligation de tenue d’un registre des activités de traitement ne s’applique pas à toutes les structures.

==> Principe

L’obligation de tenue d’un registre des activités de traitement incombe à toutes les structures qui comportent plus de 250 salariés.

Dès lors que ce seuil est dépassé, le responsable du traitement a l’obligation de constituer ce registre, quand bien même aucun DPD n’a été désigné.

Par ailleurs, l’obligation de tenir un registre s’applique, tant au responsable du traitement, qu’au sous-traitant.

L’article 30, 2 du RGPD énonce en ce sens que chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

==>Exception

Par exception à l’obligation qui s’impose au responsable du traitement et au sous-traitant, l’article 30, 5 du RGPD prévoit que l’obligation de tenue d’un registre ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • Le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel

OU

  • Le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

II) Le contenu du registre

Avant l’entrée en vigueur du RGPD, la loi Informatique et Libertés imposait aux responsables de traitements de données personnelles, sauf exceptions, d’accomplir des formalités déclaratives auprès de la CNIL.

A cet égard, cette dernière recommande que le registre tenu par le responsable du traitement, en application de la nouvelle réglementation, fasse état, tant des traitements qui avaient donné lieu, avant l’entrée en vigueur du RGPD, à des déclarations préalables que de ceux intervenus après son adoption.

A) Les traitements antérieurs au 25 mai 2018

Pour les traitements intervenus avant le 25 mai 2018, il est possible d’intégrer au registre prévu par les formalités accomplies lors de la déclaration de ces traitements, soit :

  • Les déclarations simplifiées ;
  • Les déclarations ordinaires ;
  • Les déclarations normales ;
  • Les demandes d’avis ;
  • Les demandes d’autorisation ;
  • Les demandes d’autorisation recherches médicales ;
  • Les demandes d’autorisation évaluation de pratiques de soins.

Il peut être observé que les listes qui concernent les formalités accomplies entre 1979 et le 25 mai 2018 par les responsables publics et privés mettant en œuvre des fichiers, dispositifs ou applications traitant des données relatives à des personnes physiques sont mises à disposition pour une durée de 10 ans à compter du 25 mai 2018 : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018

Reste que dans certains cas, le responsable du traitement était dispensé d’accomplir des formalités :

  • Les organismes, publics ou privés, qui avaient désigné un Correspondant Informatique et Libertés (CIL) étaient ainsi dispensés, depuis octobre 2005, d’accomplir certaines formalités (déclarations) auprès de la CNIL.
  • La CNIL avait également dispensé de déclaration certains traitements de données personnelles courants.

D’autres traitements étaient encore dispensés, non pas de déclaration, mais de la publication de l’acte réglementaire qui les autorise :

  • Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III de la loi Informatique et Libertés en vigueur avant le 25 mai 2018) étaient également dispensées de publication.
  • Les traitements mis en œuvre par des particuliers (ex. : vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée, ne sont pas concernés par cette publication.

Pour ces traitements dispensés de déclaration ou de publication, s’il n’est pas nécessaire d’en faire mention sur le registre des activités, il doit, en revanche, être fait état de l’exemption dont ils bénéficient.

B) Les traitements postérieurs au 25 mai 2018

  1. Le registre du responsable du traitement

L’article 30, 1 du RGPD prévoit que le registre des activités de traitement doit mentionner les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

2. Le registre du sous-traitant

S’agissant du registre tenu par le sous-traitant, en application de l’article 30, 2 du RGPD il doit comporter :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

III) Les modalités de tenue du registre

Compte tenu des informations qui doivent figurer sur le registre, celui-ci doit nécessairement prendre la forme d’un écrit.

L’article 30, 3 prévoit en ce sens que 3 le registre se présente « sous une forme écrite y compris la forme électronique. »

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

IV) La mise à disposition du registre

==> La communication du registre à la CNIL

L’article 30, 4 du RGPD prévoit que le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant doivent metttre le registre à la disposition de l’autorité de contrôle sur demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

==> La communication du registre aux personnes

La CNIL rappelle que selon que le registre est tenu par un organisme public ou privé, sa communication peut être autorisée ou interdite

  • S’agissant des organismes du secteur public
    • Ils sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.
    • Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
  • S’agissant des organismes privés
    • Ils ne sont pas tenus de communiquer le registre au public.
    • Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.

Le délégué à la protection des données à caractère personnel (DPO): désignation, fonction et missions

Dans le cadre de la mise en œuvre du principe d’accountability, le RGPD prévoit la désignation, obligatoire, dans certains cas, d’un délégué à la protection des données (DPD ou DPO pour Data Protection Officer).

Le DPD joue un rôle clé dans la promotion d’une culture de la protection des données au sein de l’organisme et contribue à mettre en œuvre des éléments essentiels du RGPD, tels que les principes relatifs au traitement des données, les droits des personnes concernées, la protection des données dès la conception et la protection des données par défaut, le registre des activités de traitement, la sécurité du traitement ainsi que la notification et la communication des violations de données.

Le DPD est présenté par le Groupe de l’article 29 comme « l’une des pierres angulaires du régime de responsabilité » institué par le législateur européen.

Plus précisément, il a pour finalité :

  • D’une part, de faciliter le respect des règles grâce à la mise en œuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données)
  • D’autre part, d’agir comme un intermédiaire entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Au vrai, la désignation d’une personne chargée de veiller au respect de la conformité des procédures internes de l’entreprise avec les principes édictés par les textes n’est pas nouvelle.

La directive du 24 novembre 1995 prévoyait déjà la possibilité pour les États membres de désigner une personne détachée à la protection des données, laquelle sera connue, en France, sous le nom de Correspondant Informatique et Libertés (CIL).

Autant dire que le DPD a vocation à remplacer ce CIL, à la nuance près néanmoins, que la désignation du DPD est, dans certains cas, rendue obligatoire par le RGPD.

Étonnement, tandis que le RGPD détaille le statut du DPD, la loi française de transposition du 20 juin 2018 se limite à prévoir sa désignation. Pour le reste, elle renvoie au règlement européen qui, bien qu’il soit d’application directe, comporte de nombreuses zones d’imprécision.

Aussi, c’est à la CNIL et à la jurisprudence qu’il reviendra de préciser le statut juridique du DPD.

Pour l’heure, il convient de se reporter au RGPD et aux lignes directives du Groupe de l’article 29 afin d’appréhender le régime juridique du DPD.

I) La désignation du délégué à la protection des données

A) Les cas de désignation d’un DPD

Il ressort du RGPD qu’il convient de distinguer les cas où la désignation d’un DPD est obligatoire et ceux où la désignation est facultative.

  1. La désignation d’un DPD est obligatoire

A titre de remarque liminaire, il peut être observé que l’article 37 du RGPD s’applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d’un DPD.

En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPD, dans d’autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPD (les deux DPD devant alors collaborer entre eux).

Il est important de souligner que, quand bien même le responsable du traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu de désigner un DPD.

Pour déterminer si la désignation est obligatoire, il convient de se reporter à l’article 37, 1. du RGPD qui énonce trois cas.

Dans le silence de la LIL et de la jurisprudence qui n’a pas encore eu l’opportunité de se prononcer, le champ d’application de ces trois cas doit être appréhendée à la lumière Lignes directrices concernant les délégués à la protection des données adoptées par le Groupe de l’article 29 en date du 13 décembre 2016.

  • Premier cas: le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
    • Le G29 considère que cette notion doit être définie en fonction du droit national.
    • Bien qu’il n’y ait pas d’obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique désignent un DPD. Les activités de ce DPD couvrent l’ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l’exercice d’une charge officielle (par exemple, la gestion d’une base de données des employés).
  • Deuxième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
    • Sur la notion d’« activité de base »
      • Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
      • Toutefois, les « activités de base » ne doivent pas être interprétées comme excluant les activités pour lesquelles le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant.
      • Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.
      • Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.
      • Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPD.
    • Sur la notion de suivi régulier et systématique
      • La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD, mais celle de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 et inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.
      • Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.
        • Sur le terme « régulier»
          • Le G29 interprète le terme « régulier » comme recouvrant une ou plusieurs des significations suivantes
            • Continu ou se produisant à intervalles réguliers au cours d’une période donnée
            • Récurrent ou se répétant à des moments fixes
            • Ayant lieu de manière constante ou périodique.
        • Sur le terme « systématique»
          • Le G29 interprète le terme « systématique » comme recouvrant une ou plusieurs des significations suivantes
            • Se produisant conformément à un système
            • Préétabli, organisé ou méthodique
            • Ayant lieu dans le cadre d’un programme général de collecte de données
            • Effectué dans le cadre d’une stratégie.
          • Exemples d’activités pouvant constituer un suivi régulier et systématique des personnes concernées:
            • Exploitation d’un réseau de télécommunications
            • Fourniture de services de télécommunications
            • Reciblage par courrier électronique
            • Activités de marketing fondées sur les données
            • Profilage et notation à des fins d’évaluation des risques (par exemple, aux fins de l’évaluation du risque de crédit, de l’établissement des primes d’assurance, de la prévention de la fraude ou de la détection du blanchiment d’argent)
            • Géolocalisation, par exemple, par des applications mobiles
            • Programmes de fidélité
            • Publicité comportementale
            • Surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables
            • Systèmes de télévision en circuit fermé
            • Dispositifs connectés tels que les voitures et compteurs intelligents, la domotique, etc.
  • Troisième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10
    • Si le RGPD ne définit pas la notion de traitement à « grande échelle », le considérant 91 fournit toutefois certaines orientations.
    • En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations.
    • Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement « à grande échelle » pour certains types d’activités de traitement courantes.
    • En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée
      • Le volume de données et/ou le spectre des données traitées
      • La durée, ou la permanence, des activités de traitement des données
      • L’étendue géographique de l’activité de traitement

2. La désignation d’un DPD est facultative

L’article 37, 4. du RGPD prévoit que « le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données ».

Cette désignation résultera d’une évaluation du niveau de risque de non-conformité auquel est exposé le responsable du traitement ou le sous-traitant.

A cet égard, il peut être observé que le G29 recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPD, afin qu’ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.

Cette analyse fait partie de la documentation requise au titre du principe de responsabilité. Elle peut être exigée par l’autorité de contrôle et doit être tenue à jour le cas échéant, par exemple si les responsables du traitement ou les sous-traitants exercent de nouvelles activités ou s’ils proposent de nouveaux services susceptibles de correspondre aux cas énumérés à l’article 37.

B) Les modalités de désignation du DPD

  1. La désignation d’un DPD externe

Le Groupe de l’article 29 prévient : lorsqu’un organisme désigne un DPD sur une base volontaire, les conditions prévues aux articles 37 à 39 s’appliquent à la désignation, à la fonction et aux missions de celui-ci comme si la désignation avait été obligatoire.

Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPD et ne souhaite pas en désigner sur une base volontaire d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel.

En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions.

Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD).

2. La désignation d’un DPD unique pour plusieurs organismes

L’article 37, 4 du RGPD prévoit que « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ».

Pour le Groupe de l’article 29 la notion de joignabilité renvoie aux missions du DPD en tant que point de contact pour les personnes concernées, pour l’autorité de contrôle, mais également en interne au sein de l’organisme, compte tenu du fait que l’une des missions du DPD consiste à « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement ».

Afin de veiller à ce que le DPD, qu’il soit interne ou externe, soit joignable, il est important de

s’assurer que ses coordonnées sont mises à disposition conformément aux exigences du RGPD.

Il doit donc être en mesure, avec l’aide d’une équipe si nécessaire, de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes, ce qui implique également que cette communication s’effectue dans la ou les langues utilisées par les autorités de contrôle et les personnes concernées en question.

La disponibilité d’un DPD (qu’il se trouve physiquement dans le même lieu que les employés ou qu’il soit joignable à travers un service d’assistance téléphonique ou d’autres moyens de communication sécurisés) est essentielle pour que les personnes concernées puissent prendre contact avec lui.

En outre, l’article 37 du RGPD autorise la désignation d’un seul délégué à la protection des données pour plusieurs autorités publiques ou organismes publics, compte tenu :

  • De leur structure organisationnelle
  • De leur taille.

Les mêmes considérations en matière de ressources et de communication s’appliquent.

Étant donné que le DPD est chargé d’une série de missions, le responsable du traitement ou le sous-traitant doit s’assurer qu’un seul DPD peut, avec l’aide d’une équipe si nécessaire, s’acquitter efficacement de ces missions en dépit du fait qu’il soit désigné par plusieurs autorités publiques et organismes publics.

C) La publicité de la désignation du DPD

L’article 37, 7 du RGPD met à la charge du responsable du traitement une obligation de publier « les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle ».

Ces exigences visent à garantir que les personnes concernées (tant à l’intérieur qu’à l’extérieur de l’organisme) et les autorités de contrôle puissent aisément et directement prendre contact avec le DPD sans devoir s’adresser à un autre service de l’organisme.

==> Sur la communication des coordonnées du DPD

Les coordonnées du DPD doivent contenir des informations permettant aux personnes concernées et aux autorités de contrôle de joindre celui-ci facilement (une adresse postale, un numéro de téléphone spécifique et/ou une adresse de courrier électronique spécifique).

Le cas échéant, aux fins de la communication avec le public, d’autres moyens de communication pourraient également être prévus, par exemple, une assistance par téléphone spécifique, ou un formulaire de contact spécifique adressé au DPD sur le site web de l’organisme.

==> Sur la communication du nom du DPD

L’article 37, 7 n’exige pas que les coordonnées publiées incluent le nom du DPD.

Toutefois, la communication du nom du DPD à l’autorité de contrôle est essentielle pour que le DPD puisse faire office de point de contact entre l’organisme et l’autorité de contrôle.

II) La fonction de délégué à la protection des données

A) Les conditions d’éligibilité à la fonction de DPD

L’article 37, 5. du RGPD prévoit que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Le considérant 97 précise que le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. L’appréciation doit, autrement dit, être effectuée au cas par cas.

En tout état de cause, pour être éligible à la fonction de DPD, la personne désignée doit justifier :

  • D’un niveau adéquat expertise
    • Bien que le niveau d’expertise requis ne soit pas défini, il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme.
    • Par exemple, lorsqu’une opération de traitement de données est particulièrement complexe, ou lorsqu’une grande quantité de données sensibles est concernée, il est possible que le DPD doive disposer d’un niveau plus élevé d’expertise et de soutien.
  • De qualités professionnelles suffisantes
    • Pour le Groupe de l’article 29, il est nécessaire il est nécessaire que le DPD dispose d’une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD.
    • Il doit encore disposer d’une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information et des besoins du responsable du traitement en matière de protection et de sécurité des données
  • D’une aptitude à exercer ses missions
    • L’aptitude à exercer les missions qui incombent au DPD doit être interprétée tant au regard des qualités personnelles et connaissances du DPD que de sa fonction au sein de l’organisme.
    • Parmi les qualités personnelles figurent par exemple l’intégrité et un haut niveau de déontologie, la préoccupation première du DPD doit être de permettre le respect du RGPD.

B) La fonction du DPD

L’article 38 du RGPD prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

Il ressort de cette disposition que, dès lors qu’une situation intéresse le traitement de données à caractères personnel, le DPD doit, a minima, en être informé par le responsable du traitement, voire être consulté pour avis.

C) Les ressources du DPD

L’article 38 du RGPD met à la charge du responsable du traitement une obligation de fourniture, au DPD :

  • Des ressources nécessaires pour exercer ces missions
  • De l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

Le Groupe de l’article 29 précise que, d’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé.

D) Les garanties d’exercice de la fonction

L’article 38 du RGPD pose un certain nombre de règles qui sont destinées à permettre au DPD d’exercer ses missions en toute indépendance.

A cet égard, le considérant 97 précise que le DPD soit ou non employé du responsable du traitement, il doit, en tout état de cause, être en mesure d’exercer ses fonctions et missions en toute indépendance.

Cette indépendance est garantie par :

  • L’autonomie dont jouit le DPD dans l’exercice de ses missions
    • A cet égard, le responsable du traitement et le sous-traitant doivent veiller à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions.
    • Cela signifie que, dans l’exercice de ses missions, en application de l’article 39 du RGPD, le DPD ne doit pas recevoir d’instructions sur la façon de traiter une affaire, par exemple, quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.
    • LE RGPD précise que le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  • L’immunité dont il jouit quant au licenciement et aux sanctions disciplinaires
    • Le DPD ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
    • Cette exigence renforce l’autonomie des DPD et contribue à garantir que ceux-ci agissent en toute indépendance et bénéficient d’une protection suffisante dans l’exercice de leurs missions relatives à la protection des données.
    • Par exemple, si un DPD considère qu’un traitement particulier est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPD, ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis.
  • La prévention du conflit d’intérêts
    • Si le RGPD autorise le DPD à exercer d’autres missions et tâches au sein de l’entreprise, le responsable du traitement ou le sous-traitant doivent veiller à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
    • Pour le Groupe de l’article 29 cela signifie que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
    • S’agissant d’un DPD externe, il peut y avoir conflit d’intérêt s’il est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

III) Les missions du délégué à la protection des données

Les missions qui doivent être confiées au DPD sont énoncées, non exhaustivement, à l’article 39 du RGPD.

Cette disposition prévoit en ce sens que le DPD a pour mission :

  • D’informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
    • Le DPD se voit ainsi confié une mission pédagogique auprès des différents acteurs de l’entreprise.
    • Cette mission peut se traduire par la mise en place de formation et de notes informatives
  • De contrôler le respect du RGPD
    • Le contrôle du respect du RGPD ne signifie pas que le DPD est personnellement responsable en cas de non-respect de celui-ci.
    • Le RGPD établit clairement que c’est le responsable du traitement, et non le DPD, qui est tenu de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement» (article 24).
    • Le respect de la protection des données relève de la responsabilité du responsable du traitement des données, et non du DPD.
  • De dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci
    • Conformément à l’article 35, il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données.
    • Le G29 recommande que le responsable du traitement demande conseil au DPD sur les questions suivantes notamment :
      • La question de savoir s’il convient ou non de procéder à une analyse d’impact relative à la protection des données ;
      • La méthodologie à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;
      • La question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en interne ou de la sous-traiter ;
      • Les mesures (y compris des mesures techniques et organisationnelles) à appliquer pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ;
      • La question de savoir si l’analyse d’impact relative à la protection des données a été correctement réalisée et si ses conclusions (opportunité ou non de procéder au traitement et garanties à mettre en place) sont conformes au RGPD.
    • Si le responsable du traitement est en désaccord avec l’avis fourni par le DPD, la documentation de l’analyse d’impact relative à la protection des données devrait expressément justifier, par écrit, la raison pour laquelle l’avis n’a pas été pris en considération.
  • De coopérer avec l’autorité de contrôle et de faire office de point de contact
    • Selon le Groupe de l’article 29, ces missions ont trait au rôle de « facilitateur » du DPD.
    • En effet, celui-ci fait office de point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations nécessaires à l’exécution de ses missions, ainsi qu’à l’exercice de ses pouvoirs d’enquête, de ses pouvoirs d’adopter des mesures correctrices, de ses pouvoirs d’autorisation et de ses pouvoirs consultatifs

RGPD: le principe d’accountability ou l’abandon – partiel – du système des formalités préalables

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement

  • Principe
    • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
      • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
      • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
  • Exception
    • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

  • Principe : le régime de déclaration
    • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
    • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
    • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
      • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
      • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
      • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
      • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
      • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
  • Exception : le régime d’autorisation
    • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
      • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
      • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
      • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
      • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Transposant le Règlement général sur a protection des données (RGPD), la loi du 20 juin 2018 simplifie, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, comme l’autorise le règlement, la loi maintient des formalités préalables pour certains traitements.

Pour les données les plus sensibles, leur traitement est purement et simplement interdit par la loi informatique et libertés

Au bilan, trois sortes de régimes juridiques sont applicables aux traitements de données à caractère personnel :

  • Un régime de responsabilité
  • Un régime d’autorisation
  • Un régime de d’interdiction

==> Le principe d’accountability

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations qu’il convient d’examiner.

RGPD: les exceptions au principe du consentement

Si le consentement joue un rôle important dans la mise en œuvre d’un traitement de données à caractère personnel, cela n’exclut pas la possibilité que, compte tenu du contexte, d’autres fondements juridiques puissent être jugés plus appropriés par le responsable du traitement ou la personne concernée.

Le RGPD et la LIL prévoient 5 autres fondements juridiques sur la base desquels un traitement de données à caractère personnel peut être mise en œuvre.

Au nombre de ces fondements juridiques figurent :

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Une distinction peut ainsi être établie entre le cas où le traitement des données à caractère personnel se fonde sur le consentement indubitable de la personne concernée et les cinq autres cas.

En résumé, ces derniers décrivent des scénarios où le traitement peut se révéler nécessaire dans un contexte spécifique, comme l’exécution d’un contrat conclu avec la personne concernée, le respect d’une obligation légale imposée au responsable du traitement, etc.

Dans l’hypothèse où le consentement de la personne est requis, ce sont les personnes concernées elles-mêmes qui autorisent le traitement de leurs données à caractère personnel.

Il leur appartient de décider si elles permettent que leurs données soient traitées. Le consentement n’élimine pas pour autant la nécessité de respecter les principes énoncés par la LIL.

De plus, le consentement doit encore remplir certaines conditions essentielles pour être légitime. Dès lors que le traitement des données de l’utilisateur est, en définitive, laissé à sa discrétion, tout dépend de la validité et de la portée du consentement de la personne concernée.

Autrement dit, le premier motif, mentionné à l’article 6 a) du RGPD (le consentement) a trait à l’autodétermination de la personne concernée comme fondement de la légitimité.

Tous les autres motifs, en revanche, autorisent le traitement – moyennant des garanties et des mesures définies – dans des situations où, indépendamment du consentement, il est approprié et nécessaire de traiter les données dans un certain contexte pour servir un intérêt légitime spécifique.

En toute hypothèse, c’est au responsable du traitement des données qu’il revient initialement d’apprécier si les critères énoncés à l’article 7, points a) à f), sont remplis, sous réserve du respect du droit applicable et des orientations relatives à la façon dont ce droit doit être appliqué.

Ensuite, la légitimité du traitement peut faire l’objet d’une autre évaluation, et éventuellement être contestée, par les personnes concernées, par d’autres parties prenantes, par les autorités chargées de la protection des données, et en définitive la question peut être tranchée par les tribunaux.

I) Le respect d’une obligation légale

Ce fondement juridique renvoie à l’hypothèse où le traitement de données à caractère personnel est imposé au responsable du traitement par une obligation légale.

Il pourrait, par exemple, s’agir d’un texte qui impose aux employeurs de communiquer des données relatives aux rémunérations de leurs salariés à la sécurité sociale ou à l’administration fiscale, ou lorsque les institutions financières sont tenues de signaler certaines opérations suspectes aux autorités compétentes en vertu de règles visant à lutter contre le blanchiment d’argent. I

Pour que ce fondement juridique, puisse s’appliquer, l’obligation à laquelle est soumis le responsable du traitement doit satisfaire à un certain nombre de conditions :

  • Une obligation légale ou réglementaire
    • L’obligation sur le fondement de laquelle le traitement est mis en œuvre, doit être imposée par la loi ou par un texte réglementaire et non, par exemple, par une cause contractuelle.
    • A cet égard, le texte légal doit remplir toutes les conditions requises pour rendre l’obligation valable et contraignante, et doit aussi être conforme au droit applicable en matière de protection des données, notamment aux principes de nécessité, de proportionnalité et de limitation de la finalité.
  • Une obligation édictée par l’Union européenne ou un État membre
    • Il importe de souligner que l’obligation légale dont se prévaut le responsable du traitement doit se rapporter aux lois de l’Union européenne ou d’un État membre.
    • Les obligations imposées par les lois de pays tiers (comme, par exemple, l’obligation de mettre en place des mécanismes de dénonciation des dysfonctionnements, instaurée en 2002 par la loi Sarbanes-Oxley aux États-Unis) ne relèvent pas de ce motif.
  • Une obligation à laquelle le responsable du traitement ne peut pas déroger
    • Le responsable du traitement ne doit pas avoir le choix de se conformer ou non à l’obligation.
    • Les engagements volontaires unilatéraux et les partenariats public-privé qui supposent le traitement de données au-delà de ce qui est requis par la loi n’entrent donc pas dans le champ d’application de l’article 7, point 1° de la LIL.
    • Par exemple, si un fournisseur de services internet décide – sans y être contraint par une obligation légale claire et précise – de surveiller ses utilisateurs afin de lutter contre le téléchargement illégal, l’article 7, 1°, ne pourra pas être invoqué comme fondement juridique approprié à cet effet.
  • Une obligation suffisamment claire et précise
    • L’obligation légale elle-même doit être suffisamment claire à propos du traitement de données à caractère personnel qu’elle requiert.
    • En conséquence, l’article 7, point 1°, s’applique sur la base de dispositions juridiques mentionnant explicitement la nature et l’objet du traitement.
    • Le responsable du traitement ne doit pas avoir de marge d’appréciation injustifiée quant à la façon de se conformer à l’obligation légale.

II) La sauvegarde de la vie de la personne concernée

Pour que ce fondement juridique puisse servir de base à un traitement de données à caractère personnel, il est nécessaire que le responsable du traitement justifie de la nécessité de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique.

Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.

Selon le Groupe de l’article 29, l’expression « intérêt vital » semble limiter l’application de ce motif à des questions de vie ou de mort, ou, à tout le moins, à des menaces qui comportent un risque de blessure ou une autre atteinte à la santé de la personne concernée.

A cet égard, le considérant 31 de la Directive du 24 octobre 1995 confirme que l’objectif de ce fondement juridique est de « protéger un intérêt essentiel à la vie de la personne concernée ».

Ni la directive, ni le RGPD ne précise, néanmoins, si la menace doit être immédiate. Ce silence, n’est pas sans soulever des questions quant à la portée de la collecte de données, par exemple, à titre de mesure préventive ou à grande échelle, comme la collecte des données relatives aux passagers transportés par une compagnie aérienne en cas de risque d’épidémie ou d’incident de sûreté.

Le groupe de l’article 29 considère qu’il convient de donner une interprétation restrictive à cette disposition. Bien que l’article 7, 2° de la LIL, ne limite pas expressément l’utilisation de ce motif à des situations où le consentement ne peut servir de fondement juridique, il est raisonnable de supposer que, lorsqu’il est possible et nécessaire de demander un consentement valable, il y a effectivement lieu d’obtenir ce consentement chaque fois que les conditions le permettent.

Cette disposition voit ainsi son application limitée à une analyse au cas par cas et elle ne peut normalement servir à légitimer, ni la collecte massive de données à caractère personnel, ni leur traitement.

III) L’exécution d’une mission de service public

Lorsqu’une personne exécute une mission de service public, l’article 7, 3° de l’autorise à mettre en œuvre un traitement de données à caractère personnel, sans qu’il soit besoin qu’elle recueille, au préalable, le consentement de la personne concernée.

Encore faut-il que la mission confiée au responsable du traitement porte bien sur une mission de service public, ce qui implique qu’elle relève de l’exercice d’une autorité publique conférée en vertu d’un texte légal ou réglementaire.

Ce fondement juridique couvre deux situations :

  • Première situation
    • Il concerne des situations où le responsable du traitement est lui-même investi d’une autorité publique ou d’une mission d’intérêt public (sans nécessairement être lui aussi soumis à une obligation légale de traiter des données) et où le traitement est nécessaire à l’exercice de cette autorité ou de cette mission.
    • Par exemple, une administration fiscale peut collecter et traiter la déclaration de revenus d’une personne afin d’établir et de vérifier le montant de l’impôt à payer.
  • Seconde situation
    • Ce fondement juridique couvre aussi des situations où le responsable du traitement n’est pas investi d’une autorité publique, mais est invité à communiquer des données à un tiers investi d’une telle autorité.
    • Par exemple, un agent d’un service public compétent pour enquêter sur un crime peut demander au responsable du traitement sa coopération dans le cadre d’une enquête en cours, plutôt que de lui ordonner de se soumettre à une demande de coopération spécifique.

En toute hypothèse, pour être licite, il faut que le traitement soit « nécessaire à l’exécution d’une mission de service public », ou encore que le responsable du traitement ou le tiers auquel il communique les données soit investi d’une autorité publique et que le traitement des données soit nécessaire à l’exercice de cette autorité.

Si, toutefois, le traitement suppose une ingérence dans la vie privée ou si le droit national l’exige par ailleurs afin de garantir la protection des personnes concernées, la base juridique encadrant le genre de traitement de données qui peut être autorisé devra être suffisamment précise et spécifique.

L’article 7, 3°, a potentiellement un champ d’application très large, ce qui plaide en faveur d’une interprétation stricte et d’une définition précise, au cas par cas, de l’intérêt public en jeu et de l’autorité publique justifiant le traitement.

IV) L’exécution, d’un contrat ou de mesures précontractuelles

L’article 7, 4° prévoit que le consentement de la personne concernée n’est pas requis lorsque le traitement de données à caractère personnel procède de l’exécution :

  • Soit d’un contrat auquel la personne concernée est partie
  • Soit de mesures précontractuelles prises à la demande de celle-ci

==> Sur l’exécution d’un contrat

Le fondement juridique de l’article 7, 4° vise d’abord les situations dans lesquelles le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

Pour exemple :

  • Il couvre, par exemple, la collecte de données à caractère personnel dans le cadre des formulaires bancaires que doit remplir la personne demandant l’ouverture d’un compte.
  • Il peut encore s’agir du traitement de son adresse pour que des produits achetés en ligne puissent être livrés, ou du traitement des informations figurant sur une carte de crédit afin d’effectuer une transaction.
  • Dans le contexte des relations de travail, ce motif peut autoriser, par exemple, le traitement des informations relatives aux salaires et des coordonnées de comptes bancaires pour que les salariés puissent être payés.

Comme le relève le Groupe de l’article 29, ce fondement juridique doit être interprétée de façon restrictive et ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat, mais plutôt imposé unilatéralement à la personne concernée par le responsable du traitement.

Le fait qu’un certain traitement de données soit couvert par un contrat ne signifie pas non plus automatiquement que le traitement soit nécessaire à son exécution.

Par exemple, l’article 7, 4° de la LIL ne peut pas servir de fondement juridique pour établir un profil des goûts et du mode de vie de l’utilisateur à partir de son historique de navigation sur un site internet et des articles achetés.

En effet, le responsable du traitement des données n’a pas été chargé, dans le contrat, d’établir un profil mais de fournir des produits et des services, par exemple.

Même si ces activités de traitement sont expressément mentionnées en petits caractères dans le contrat, elles n’en deviennent pas pour autant « nécessaires » à l’exécution de ce dernier.

Il existe donc ici un lien évident entre l’appréciation de la nécessité et le respect du principe de limitation de la finalité.

Il importe de déterminer la raison d’être exacte du contrat, c’est-à-dire sa substance et son objectif fondamental, car c’est ce qui permettra de vérifier si le traitement des données est nécessaire à l’exécution du contrat.

==> Sur l’exécution de mesures précontractuelles

Le recueil du consentement préalable de la personne concernée n’est pas non plus requis en cas d’exécution de mesures précontractuelles, soit celles prises avant la conclusion du contrat.

Il peut donc s’appliquer aux relations précontractuelles, pour autant que les démarches soient accomplies à la demande de la personne concernée, plutôt qu’à l’initiative du responsable du traitement ou d’un tiers.

Par exemple, si une personne demande à un détaillant de lui faire une offre de prix pour un produit, le traitement de données effectué à cette fin, tel que la conservation, pour une durée limitée, de l’adresse et des informations à propos de ce qui est demandé, pourra s’appuyer sur ce fondement juridique.

De même, si quelqu’un demande un devis à un assureur pour sa voiture, l’assureur est en droit de traiter les données nécessaires, par exemple, la marque et l’âge de la voiture, ainsi que d’autres données pertinentes et proportionnées, afin d’établir le devis.

En revanche, des vérifications détaillées comme, par exemple, le traitement de données d’examens médicaux par une compagnie d’assurances avant de proposer une assurance maladie ou une assurance vie ne seraient pas considérées comme une étape nécessaire accomplie à la demande de la personne concernée.

Le traitement à des fins de prospection commerciale sur l’initiative du responsable du traitement ne pourra pas non plus s’appuyer sur ce motif.

V) La réalisation d’un intérêt légitime

Dernier fondement juridique susceptible de servir de base à la mise en œuvre d’un traitement de données à caractère personnel : la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Ce fondement juridique, d’une portée exceptionnellement générale, est issue de la directive du 24 octobre 1995.

Cette directive ne donnait toutefois aucun critère. Son considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements :

  • Les activités de gestion courante des entreprises et autres organismes
  • La prospection commerciale
  • La prospection par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique

La directive précisait que les traitements devaient, en tout état de cause, être mis en œuvre dans le respect des dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

Sans préciser ce que l’on doit entendre par la notion d’« intérêt légitime », le RGPD énonce, dans son considérant 47 que « les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement ».

Le texte ajoute que l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

Bien que le RGPD apporte des précisions sur le fondement de l’intérêt légitime, il ne définit pas la notion, de sorte qu’il y a lieu de se reporter à l’avis émis par le Groupe de l’article 29 en date du 9 avril 2014.

Selon ce Groupe, pour déterminer si un traitement de données à caractère personnel peut être mise en œuvre sur le fondement de l’intérêt légitime poursuivi par le responsable du traitement, il convient de procéder par étape

A) Première étape

Elle consiste à déterminer si l’intérêt poursuivi par le responsable du traitement est légitime.

Il convient, tout d’abord, de noter que la notion d’intérêt légitime doit être distinguée de la notion de finalité.

  • La finalité est la raison spécifique pour laquelle les données sont traitées : le but de leur traitement
  • L’intérêt, quant à lui, est l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que la société pourrait tirer – du traitement.

La question qui alors se pose est de savoir ce qui rend un intérêt légitime ou illégitime. Il s’agit, autrement dit, de déterminer le seuil de ce qui constitue un intérêt légitime.

Pour le Groupe de l’article 29, un intérêt peut être considéré comme légitime dès lors que le responsable du traitement est en mesure de poursuivre cet intérêt dans le respect de la législation sur la protection des données et d’autres législations.

Autrement dit, un intérêt légitime doit être « acceptable au regard du droit ».

Aussi, un « intérêt légitime » doit donc :

  • Être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné)
  • Être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis)
  • Constituer un intérêt réel et présent (c’est-à-dire non hypothétique)

Le fait que le responsable du traitement poursuive un tel intérêt légitime en traitant certaines données ne signifie pas qu’il puisse nécessairement invoquer l’article 7, 5°, comme fondement juridique justifiant le traitement.

La légitimité de l’intérêt poursuivi n’est qu’un point de départ. La possibilité d’invoquer ce fondement juridique dépend du résultat de la mise en balance entre l’intérêt du responsable du traitement avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

À titre d’illustration : des responsables du traitement peuvent avoir un intérêt légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres et, en fin de compte, de proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients.

Dans cette perspective, l’article 7, 5°, peut constituer un fondement juridique approprié pour certains types d’activités de prospection, en ligne ou hors ligne, pour autant qu’il existe des garanties appropriées, incluant, entre autres, un mécanisme fonctionnel permettant de s’opposer à ce traitement

Cela ne signifie pas pour autant que les responsables du traitement pourraient invoquer l’article 7, 5°, pour surveiller indûment les activités en ligne ou hors ligne de leurs clients, pour compiler d’importants volumes de données à leur propos en provenance de différentes sources, collectées à l’origine dans d’autres contextes et à des fins différentes, et pour créer des profils complexes concernant la personnalité et les préférences des clients, sans les en informer, ni mettre à leur disposition un mécanisme fonctionnel permettant d’exprimer leur opposition, pour ne rien dire de leur consentement éclairé.

Une telle activité de profilage risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable du traitement.

B) Deuxième étape

Il s’agit ici de déterminer si le traitement de données à caractère personnel que le responsable envisage de mettre en œuvre est nécessaire à la réalisation de l’intérêt poursuivi.

Cette exigence a notamment été rappelée par la CJUE dans un arrêt du 13 mai 2014 aux termes duquel elle a considéré que l’article 7 de la directive du 24 octobre 1995 (devenu l’article 6 du RGPD), « permet le traitement de données à caractère personnel lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les droits fondamentaux de la personne concernée, notamment son droit au respect de sa vie privée à l’égard du traitement des données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12).

Lorsque, dès lors, le traitement n’est pas absolument nécessaire à la poursuite de l’intérêt légitime du responsable, le fondement de l’article 6 du RGPD n’est pas applicable.

C) Troisième étape

A supposer que le traitement de données à caractère personnel soit nécessaire à la réalisation de l’intérêt légitime du responsable, encore faut-il, pour être licite, que cet intérêt ne porte pas atteinte à l’intérêt et aux droits et libertés fondamentaux de la personne concernée. Aussi, cela implique-t-il d’opérer une mise en balance.

A cet égard, comme le souligne le Groupe de l’article 29, il importe de relever qu’à la différence de l’«intérêt» du responsable du traitement, l’«intérêt» des personnes concernées n’est pas suivi ici de l’adjectif «légitime».

Cela suppose que la protection de l’intérêt et des droits des individus a une portée plus vaste. Même les personnes qui se livrent à des activités illégales ne devraient pas faire l’objet d’une ingérence disproportionnée dans l’exercice de leurs droits et de leurs intérêts.

Par exemple, un individu qui peut avoir commis un vol dans un supermarché pourrait encore voir son intérêt prévaloir contre la publication par le propriétaire du magasin de sa photo et de son adresse privée sur les murs du supermarché ou et/ou sur l’internet.

En toute hypothèse, il apparaît que l’intérêt légitime poursuivi par le responsable du traitement et les incidences sur l’intérêt et les droits de la personne concernée se présentent sous la forme d’un spectre.

L’intérêt légitime peut être, selon les cas, minime, relativement important ou impérieux.

De même, les incidences sur l’intérêt et les droits des personnes concernées peuvent présenter plus ou moins de gravité et peuvent être anodines ou très préoccupantes.

  • L’intérêt légitime poursuivi par le responsable du traitement, quand il est peu important, ne prévaudra généralement sur l’intérêt et les droits des personnes concernées que dans les cas où les incidences sont encore plus insignifiantes.
  • D’un autre côté, un intérêt légitime impérieux peut justifier, dans certains cas et sous réserve de garanties et de mesures adéquates, une ingérence même grave dans la vie privée ou d’autres conséquences importantes pour l’intérêt ou les droits des personnes concernées.

Il importe ici de souligner le rôle essentiel que les garanties peuvent jouer pour réduire les incidences injustifiées sur les personnes concernées et, partant, modifier l’équilibre des droits et des intérêts, au point que ceux de ces personnes ne prévalent plus sur l’intérêt légitime poursuivi par le responsable du traitement des données.

Le recours à des garanties ne suffit bien sûr pas à justifier, à lui seul, n’importe quel traitement dans toutes les situations envisageables.

Il faut en outre que les garanties en question soient adéquates et suffisantes, et qu’elles réduisent indubitablement et sensiblement les incidences sur les personnes concernées.

La mise en balance des intérêts en présence suppose de confronter les deux plateaux de la balance :

==> Sur le premier plateau de la balance

S’agissant du premier plateau de la balance, il convient d’apprécier l’intérêt légitime du responsable du traitement.

S’il est impossible de porter des jugements de valeur à l’égard de toutes les formes d’intérêt légitime envisageables, il est possible de formuler certaines orientations.

Comme indiqué précédemment, cet intérêt peut être insignifiant ou impérieux, manifeste ou plus controversé.

Pour apprécier la teneur de cet intérêt, plusieurs facteurs doivent être pris en compte :

  • L’exercice d’un droit fondamental par le responsable du traitement
    • Pour que l’intérêt légitime du responsable du traitement prévale, le traitement des données doit être « nécessaire » et « proportionné » à l’exercice du droit fondamental concerné.
    • À titre d’illustration, selon les circonstances, il peut s’avérer nécessaire et proportionné qu’un journal publie certains éléments incriminants à propos du train de vie d’un haut fonctionnaire impliqué dans un scandale de corruption présumé.
    • Il n’est pas question, néanmoins, de donner aux médias toute latitude de publier sans motif valable n’importe quel détail sur la vie privée des personnalités publiques.
  • Intérêt public/intérêt de la collectivité
    • Dans certains cas, le responsable du traitement peut choisir d’invoquer l’intérêt public ou l’intérêt de la collectivité (que ce soit prévu ou non par les lois ou les réglementations nationales).
    • Par exemple, des données à caractère personnel peuvent être traitées par une association caritative aux fins de la recherche médicale, ou par une organisation sans but lucratif dans le cadre d’une action de mobilisation contre la corruption.
    • Il peut aussi arriver que l’intérêt commercial d’une société privée coïncide dans une certaine mesure avec un intérêt public.
    • Cela peut être le cas, par exemple, pour lutter contre la fraude financière ou l’utilisation abusive de services
    • En général, le fait qu’un responsable du traitement agisse non seulement dans son propre intérêt légitime (commercial, par exemple), mais aussi dans l’intérêt de la collectivité, peut donner plus de « poids » à cet intérêt.
  • Autres intérêts légitimes
    • Dans certains cas, le contexte dans lequel un intérêt légitime apparaît peut se rapprocher de ceux où certains autres fondements juridiques peuvent être retenus
    • Par exemple, il se peut qu’une activité de traitement des données ne soit pas strictement nécessaire, mais qu’elle reste néanmoins pertinente pour l’exécution d’un contrat, comme il est possible qu’une loi autorise, le traitement de certaines données, sans pour autant l’exiger.

==> Le second plateau de la balance

L’autre plateau de la balance, à savoir l’incidence du traitement sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée, constitue un critère crucial.

Pour apprécier l’incidence du traitement, il convient de prendre en considération les conséquences aussi bien positives que négatives.

Il peut s’agir notamment de décisions ou de mesures éventuelles qui seront prises ultérieurement par des tiers et de situations où le traitement peut aboutir à l’exclusion de certaines personnes, à une discrimination à leur encontre, à de la diffamation ou, plus généralement, de situations qui comportent un risque de nuire à la réputation, au pouvoir de négociation ou à l’autonomie de la personne concernée.

En plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive ou d’une compromission effective ou potentielle de ces informations – du fait, par exemple, de leur divulgation sur l’internet.

L’effet dissuasif sur un comportement protégé, comme la liberté de recherche ou la liberté d’expression, qui peut résulter d’une surveillance constante ou d’un traçage, doit aussi être dûment pris en considération.

Afin d’évaluer l’incidence du traitement de données à caractère personnel sur la personnel concernée, le Groupe de l’article 29 préconise de prendre en compte un certain nombre de facteurs :

  • La nature des données
    • En général, plus les informations sont sensibles, plus les conséquences qu’elles peuvent avoir pour la personne concernée sont importantes.
    • Cela ne veut pas dire, cependant, qu’il est permis de traiter librement des données qui, en elles-mêmes, peuvent paraître anodines.
    • En effet, selon la façon dont elles sont traitées, même ces données peuvent avoir une incidence importante sur les individus
  • La façon dont les données sont traitées
    • L’analyse d’impact au sens large peut consister notamment à examiner si les données ont été publiées ou rendues accessibles par quelque autre moyen à un grand nombre de personnes, ou si des volumes considérables de données à caractère personnel sont traités ou combinés avec d’autres données (par exemple, en cas d’établissement de profils, à des fins commerciales, judiciaires, ou autres).
    • Le traitement à grande échelle de données apparemment anodines et leur combinaison avec d’autres données peuvent parfois permettre des inférences à propos de données plus sensibles.
  • Les attentes raisonnables de la personne concernée
    • Les attentes raisonnables de la personne concernée quant à l’utilisation et à la divulgation des données doivent être prises en compte dans la mise en balance.
    • A cet égard, il est important d’examiner si le statut du responsable du traitement des données, la nature de la relation ou du service fourni ou les obligations légales ou contractuelles applicables (ou d’autres engagements pris lors de la collecte) pourraient susciter des attentes raisonnables de confidentialité plus stricte et de limitations plus strictes en cas d’utilisation ultérieure.
  • Le statut du responsable du traitement des données et de la personne concernée
    • Le statut de la personne concernée et du responsable du traitement des données est aussi pertinent pour apprécier l’incidence du traitement.
    • Selon que le responsable du traitement des données est un individu ou une petite organisation, une grande multinationale, ou un organisme du secteur public et en fonction des circonstances, le rapport de force avec la personne concernée peut être plus ou moins grand.
    • Une grande multinationale dispose, par exemple, de ressources et d’un pouvoir de négociation considérables vis-à-vis d’une personne concernée, à titre individuel, et elle peut par conséquent être à même d’imposer ce qu’elle considère comme son « intérêt légitime » à la personne concernée, surtout si l’entreprise occupe une position dominante sur le marché.
    • D’un autre côté, le statut de la personne concernée a aussi son importance. Si, en principe, il y a lieu d’appliquer le critère de mise en balance par rapport à un individu moyen, certaines situations spécifiques appellent plutôt une approche au cas par cas : par exemple, il serait pertinent de prendre en considération le fait que la personne concernée est un enfant ou appartient à une catégorie de population plus vulnérable qui requiert une protection spéciale, comme, par exemple, les malades mentaux, les demandeurs d’asile ou les personnes âgées.

D) Quatrième étape

Afin de déterminer si le traitement de données à caractère personne peut être mis en œuvre sur le fondement juridique de l’intérêt légitime du responsable du traitement, c’est l’appréciation générale de la mise en balance qui déterminera si le résultat est acceptable ou non.

Plus l’incidence sur la personne concernée est significative, plus faudra prêter attention aux garanties qu’il convient de mettre en place.

Après une analyse et un examen attentif de tous les aspects du problème, un bilan provisoire peut être établi : une conclusion préliminaire peut être tirée afin de déterminer si l’intérêt légitime poursuivi par le responsable du traitement prévaut sur les droits et les intérêts des personnes concernées.

Il peut cependant y avoir des cas où le résultat de la mise en balance n’est pas clair et où il subsiste un doute quant à la question de savoir si l’intérêt légitime du responsable du traitement (ou du tiers) prévaut et si le traitement peut se fonder sur l’article 7, 5°.

C’est pourquoi il importe de procéder à une évaluation complémentaire dans le cadre de l’exercice de mise en balance.

À ce stade, le responsable du traitement peut envisager d’introduire d’autres mesures, qui vont au-delà du respect des dispositions horizontales de la directive, afin de contribuer à protéger les personnes concernées.

Les garanties supplémentaires destinées à prévenir toute incidence indue sur les personnes concernées peuvent notamment inclure :

  • La minimisation des données (par exemple, une limitation stricte du volume de données collectées, ou la suppression immédiate des données après utilisation)
  • Des mesures techniques et organisationnelles garantissant les données ne peuvent servir à la prise de décisions ou d’autres mesures à l’endroit des individus («séparation fonctionnelle»)
  • Un large recours aux techniques d’anonymisation, l’agrégation des données, les technologies renforçant la protection de la vie privée, la prise en compte du respect de la vie privée dès la conception, les analyses d’impact relatives à la vie privée et à la protection des données
  • Une transparence accrue, un droit général et inconditionnel de refuser le traitement, la portabilité des données et autres mesures connexes visant à renforcer le pouvoir des personnes concernées.

Lorsque les garanties prises par le responsable du traitement sont insuffisantes, la CNIL n’hésite pas à prononcer des sanctions à son encontre.

Tel avait été le cas dans le cadre d’une délibération rendue 19 juillet 2012 (CNIL, délib. n°2012-214 du 19 juillet 2012)

  • Les faits
    • Il s’agissait d’une société (la FNAC) qui avait pour activité la vente à distance sur catalogue.
    • Elle exploitait, plus précisément, un site de e-commerce
    • Lors du contrôle diligenté par la CNIL dans les locaux de cette société, il a été établi que dans les bases de la société figuraient notamment les données sur les produits commandés ainsi que sur les transactions commerciales effectuées, une table de cette base étant par ailleurs réservée aux coordonnées bancaires des clients.
    • Dans cette table apparaissaient les noms des porteurs des cartes bancaires, leurs numéros et leurs dates d’expiration, qui correspondent à environ 10 millions de cartes bancaires en cours de validité ainsi qu’à un grand nombre de cartes bancaires dont la date de validité est expirée.
    • La finalité de la conservation de ces données, qui permet aux clients de la société de ne pas avoir à les ressaisir lors d’une prochaine commande, consistait donc à leur offrir une prestation de portefeuille électronique.
  • Moyens de défense de la FNAC
    • Pour justifier cette pratique, la FNAC soutenait que la conservation de ces coordonnées bancaires dans ses bases était conforme aux conditions posées par les articles 7-4° et 7-5° de la loi du 6 janvier 1978 modifiée, qui prévoient qu’il n’est pas nécessaire de recueillir le consentement des personnes quand le traitement est lié
      • Soit à l’exécution d’un contrat auquel la personne concernée est partie
      • Soit à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée
    • A cet égard, elle soutenait
      • D’une part, que la conservation des données bancaires était conforme à la finalité annoncée au client
      • D’une part, que cette prestation faisait pleinement partie du service qui est proposé par l’e-commerçant
      • Enfin, qu’elle a en outre adopté une approche transparente à l’égard des visiteurs sur son site, où la conservation du numéro de carte bancaire et la possibilité de le supprimer sont mentionnés à plusieurs reprises.
  • Décision
    • Bien que pertinents, les arguments avancés n’ont pas suffi à emporter la conviction de la CNIL.
    • La Commission rejette notamment l’argument tenant à l’invocation du fondement de l’intérêt légitime poursuivi par la FNAC.
    • Celui-ci consistait, en l’espèce, à faciliter la réalisation d’un ou de plusieurs paiements successifs dans la durée, et par conséquent en l’optimisation des transactions commerciales effectuées sur son site.
    • Si la CNIL ne nie pas l’existence de cet intérêt légitime, elle rappelle, néanmoins, que doit être effectuée une balance entre les intérêts poursuivis par la société et ceux des personnes concernées.
    • A cet égard, la FNAC soutenait que les personnes étaient amplement informées de la conservation de leurs données bancaires ainsi que de la possibilité de les supprimer en se connectant à son compte client après chaque transaction effectuée sur son site.
    • Pour la Commission, sur ce point, si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées.
    • En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties.
    • Pour la CNIL c’est bien au titre des garanties minimales qu’il incombait à la FNAC de de recueillir le consentement des personnes au stockage de leurs coordonnées bancaires au-delà de la réalisation de la transaction, ce qu’elle n’a pas fait.
    • Elle estime par ailleurs que l’argument tiré d’une meilleure ergonomie du site ne pouvait pas prospérer.

Au bilan, il ressort de cette délibération de la CNIL que lorsqu’à l’issue de la mise en balance il apparaît que l’impact du traitement sur la personne concernée s’avère négatif, il appartient au responsable de mettre en place des garanties appropriée, sinon renforcées, afin de rééquilibrer la balance.

RGPD: les fondements juridiques du traitement de données à caractère personnel

==> Genèse

Dans sa version initiale, la loi informatique et libertés n’exigeait pas que le consentement des personnes soit recueilli préalablement au traitement de leurs données à caractère personnel.

Tout au plus, le texte leur conférait la faculté de s’opposer « pour des raisons légitimes » à ce que les informations les concernant fassent l’objet d’un traitement.

Afin de renforcer la protection des personnes, le législateur européen a, lors de l’adoption de la directive du 24 octobre 1995, décidé de mettre en terme à cette situation en posant l’exigence d’obtention du consentement préalablement à la mise en œuvre d’un traitement de données à caractère personnel.

==> Les textes

L’article 7 de la LIL prévoit que « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ».

Cette exigence a été reprise par le RGPD dont l’article 6 prévoit que « le traitement n’est licite que si […] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».

Il ressort donc de ces deux textes que le recueil du consentement de la personne concernée est requis préalablement au traitement de ses données à caractère personnel. C’est ce que l’on appelle le principe de l’opt in, par opposition au principe de l’opt out.

En somme :

  • Le principe de l’opt in implique que la personne concernée consente, au préalable, au traitement de ses données à caractère personnel, faute de quoi ledit traitement ne pourra pas être mis en œuvre.
  • Le principe de l’opt out pose, quant à lui, une présomption de consentement de la personne concernée, laquelle dispose seulement de la faculté de s’opposer, a posteriori, au traitement de ses données à caractère personnel

Les deux systèmes sont ainsi radicalement opposés. Tandis que le législateur français avait opté pour le système de l’opt out en 1978, il a finalement retenu le système de l’opt in en 2004 lors de la transposition de la directive du 24 octobre 1995.

Reste que, un certain nombre de dérogations au principe du consentement sont prévues par la LIL.

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Dans le RGPD ces exceptions sont placées au même niveau que l’exigence de consentement, en ce sens que, selon le texte, un traitement de données à caractère personnel peut avoir 5 fondements juridiques alternatifs autre que le consentement.

==> Articulation du consentement avec les autres fondements juridiques

Le RGPD envisage clairement le consentement comme une condition de licéité.

De son côté, la LIL le présente comme une condition privilégiée, parfois proche d’un principe constitutionnel, liée au statut de droit fondamental de la protection des données.

Afin d’éclairer le rôle du consentement dans des cas spécifiques, il est utile de préciser le rapport entre le consentement et d’autres conditions de licéité, notamment par rapport aux contrats, aux missions d’intérêt public ou à l’intérêt légitime du responsable du traitement et au droit de s’opposer au traitement.

L’ordre dans lequel les fondements juridiques sont cités à l’article 6 est important, mais il ne signifie pas que le consentement soit toujours le fondement le plus approprié pour légitimer le traitement de données à caractère personnel.

L’article 6 mentionne d’abord le consentement et poursuit en énumérant les autres fondements juridiques, comme les contrats et les obligations légales, avant de passer progressivement à l’équilibre des intérêts.

Il y a lieu d’observer que les cinq fondements qui suivent le consentement imposent un critère de « nécessité », qui donc limite strictement le contexte dans lequel ils peuvent s’appliquer.

Cela ne signifie nullement que l’obligation de consentement laisse davantage de marge de manœuvre que les autres fondements cités à l’article 6.

En outre, l’obtention d’un consentement n’annule pas les obligations imposées au responsable du traitement en termes d’équité, de nécessité, de proportionnalité ainsi que de qualité des données.

Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de l’utilisateur, cela ne justifie pas la collecte de données excessives au regard d’une fin particulière.

Ce n’est que dans des circonstances très restreintes que le consentement peut légitimer des traitements de données qui auraient été interdits autrement, notamment dans le cas du traitement de certaines données sensibles ou pour permettre le traitement ultérieur de données à caractère personnel, que celui-ci soit ou non compatible avec la finalité spécifiée à l’origine.

Tout bien pesé, il est indifférent que les fondements juridiques alternatifs au principe du consentement soient présentés comme des exceptions ou soient placés au même niveau.

Ce qui importe, c’est de considérer qu’il constitue une condition de licéité du traitement et non d’une renonciation à l’application d’autres principes.

Au total, il convient de retenir qu’un traitement de données à caractère personnel peut être mis en œuvre sur la base de plusieurs fondements juridiques distincts, au nombre desquels figurent le consentement qui, tant dans le RGPD que dans la LIL, occupe une place centrale.

§1 : Le principe du consentement

Par principe, un traitement de données à caractère personnel ne peut être mis en œuvre qu’à la condition d’avoir recueilli préalablement le consentement de la personne concernée.

A défaut, sauf à rentrer dans le champ d’application d’une exception, le traitement est illicite, ce qui est de nature à exposer le responsable à des sanctions.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par consentement ?

Simple en apparence, l’appréhension de la notion de consentement n’est pas sans soulever de nombreuses difficultés.

L’altération de la volonté d’une personne est, en effet, susceptible de renvoyer à des situations très diverses :

  • La personne concernée peut être atteinte d’un trouble mental
  • Le consentement de la personne peut avoir été obtenu sous la contrainte physique ou morale
  • La personne concernée peut encore avoir été conduite à accepter le traitement sans que son consentement ait été donné en connaissance de cause, car une information déterminante lui a été dissimulée
  • Elle peut également s’être engagé par erreur

Il ressort de toutes ces situations que le défaut de consentement d’une personne peut être d’intensité variable et prendre différentes formes.

Aussi, convient-il de déterminer quels sont les caractères que doit présenter le consentement d’une personne faisant l’objet d’un traitement de données à caractère personnel pour être valable.

I) La qualité du consentement

Tandis que la LIL ne définit pas la notion de consentement, le RGPD remédie à ce silence textuel en le définissant comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Il ressort de cette définition que pour être valable, le consentement doit consister en :

  • Une manifestation de volonté par laquelle la personne concernée accepte le traitement
  • Une manifestation de volonté libre
  • Une manifestation de volonté spécifique
  • Une manifestement de volonté informée
  1. Une manifestation de volonté par laquelle la personne concernée accepte le traitement

La question qui ici se pose est de savoir ce que l’on doit entendre par manifestation de volonté.

Pour le déterminer, il convient de se reporter au considérant n°32 du RGPD dont on peut tirer plusieurs enseignements.

  • Un acte positif
    • Si le texte ne limite pas les formes que peut revêtir le consentement, il doit en tout état de cause s’agi d’une manifestation de volonté, soit d’un acte positif.
    • L’exigence selon laquelle la personne concernée doit « donner » son consentement semble indiquer qu’une simple absence d’action est insuffisante et qu’une action quelconque est nécessaire pour constituer un consentement, bien que différents types d’action, à apprécier «selon le contexte», soient possibles.
    • Ainsi, il ne saurait y avoir de consentement en cas de silence, ce qui pourrait se traduire par l’inaction de la personne concernée ou par des cases cochées par défaut.
    • La manifestation de volonté peut se faire au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.
    • Cette manifestation de volonté peut encore se faire en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.
  • Un acte positif clair
    • Une manifestation de volonté en elle-même n’est pas suffisante à établir le consentement au traitement de la personne concernée.
    • Cette manifestation de volonté ne doit pas être équivoque : elle doit être indubitable
    • Pour qu’un consentement soit indubitable, la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée de donner son consentement.
    • En d’autres termes, la manifestation de volonté par laquelle la personne concernée marque son accord ne doit laisser aucune ambiguïté quant à son intention.
    • S’il existe un doute raisonnable sur l’intention de la personne concernée, il y a ambiguïté.
  • La portée de la manifestation de volonté
    • Le consentement donné par la personne concernée vaut pour toutes les activités de traitement ayant la ou les mêmes finalités.
    • Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble d’entre elles.
    • Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

2. Une manifestation de volonté libre

Pour être valable, le consentement de la personne concernée doit avoir été donné sans contrainte.

Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement.

Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

C’est le cas, par exemple, lorsque la personne concernée est sous l’influence du responsable du traitement, dans le cadre d’une relation de travail, notamment.

Dans ce cas, même s’il n’en est pas nécessairement toujours ainsi, la personne concernée peut se trouver dans une situation de dépendance vis-à-vis du responsable du traitement – en raison de la nature de la relation ou de circonstances particulières – et peut craindre d’être traitée différemment si elle n’accepte pas le traitement de ses données.

Le Groupe de l’article 29 a eu l’occasion d’affirmer que «le consentement libre désigne une décision volontaire, prise par une personne en pleine possession de ses facultés, en l’absence de toute coercition, qu’elle soit sociale, financière, psychologique ou autre ».

3. Une manifestation de volonté spécifique

Pour être valable, le consentement ne doit pas seulement être libre, il doit également être spécifique.

En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas valable.

Pour être spécifique, le consentement doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données. Il ne peut pas s’appliquer à un ensemble illimité d’activités de traitement.

En d’autres termes, le contexte dans lequel le consentement s’applique est limité.

Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. Il couvre notamment les données qui sont traitées et les finalités pour lesquelles elles le sont.

Un « consentement spécifique » est dès lors intrinsèquement lié au fait que le consentement doit être informé.

En principe, il devrait suffire que les responsables du traitement obtiennent un consentement unique pour les différentes opérations, si celles-ci relèvent des attentes raisonnables de la personne concernée.

La Cour de justice de l’Union européenne s’est prononcée sur cette question dans un arrêt du 5 mai 2001, dans le cadre d’une question préjudicielle posée sur l’article 12, paragraphe 2, de la directive « vie privée et communications électroniques ».

Cette question portait sur la nécessité du renouvellement du consentement des abonnés qui ont déjà consenti à la publication de leurs données personnelles dans un annuaire, afin que celles-ci soient transférées en vue de leur publication par d’autres services d’annuaire.

La Cour a jugé que, dès lors que l’abonné a été correctement informé de la possible transmission des données à caractère personnel le concernant à une entreprise tierce et que celui-ci a consenti à la publication desdites données dans un tel annuaire, la transmission de ces données n’exige pas de nouveau consentement de la part de l’abonné, s’il est garanti que les données concernées ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication (CJUE,  5 mai 2001 Aff.  C-543/09, Deutsche Telekom AG)

4. Une manifestement de volonté informée

Il ressort du RGPD que le consentement de la personne concernée par le traitement doit être informée.

Selon le Groupe de l’article 29 cela signifie que qu’« un consentement … doit être fondé sur l’appréciation et la compréhension des faits et des conséquences d’une action. La personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents, en particulier ceux spécifiés aux articles 10 et 11 de la directive, tels que la nature des données traitées, les finalités du traitement, les destinataires d’éventuels transferts et ses droits. Cela suppose également la connaissance des conséquences du refus de consentir au traitement des données en question ».

Autrement dit, la personne concernée doit être à même de consentir au traitement en toute connaissance de cause.

Afin de satisfaire cet objectif, il convient donc que les informations qui lui sont fournies appropriées.

Deux exigences doivent alors être remplies qui tiennent à :

  • La qualité des informations: la manière dont les informations sont communiquées (texte en clair, sans jargon, compréhensible, visible) est capitale pour apprécier si le consentement est « informé ». La manière dont les informations doivent être fournies dépend du contexte. Un utilisateur régulier/moyen devrait être en mesure de les comprendre ;
  • L’accessibilité et la visibilité des informations: les informations doivent être communiquées directement à la personne concernée. Il ne suffit pas que les informations soient « disponibles » quelque part.

II) La preuve du consentement

Le considérant n°42 du RGPD énonce que lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement.

Il échoit, en conséquence, aux responsables de traitements de données à caractère personnel de conserver les preuves attestant que le consentement a effectivement été donné par la personne concernée.

A cet égard, des déclarations expresses pour marquer un accord, comme un accord signé ou une déclaration écrite attestant la volonté de consentir sont des procédures ou des mécanismes qui se prêtent particulièrement bien à la fourniture d’un consentement indubitable.

Plus délicate en revanche est le système des cases à cocher :

  • Les cases à cocher
    • Sur le principe, un système de cases à cocher assorties, par exemple, de la mention « j’accepte les conditions générales d’utilisation», est admis pour recueillir le consentement de la personne concernée.
    • Dans une délibération 2013-420 du 3 janvier 2014 la CNIL a néanmoins posé des limites.
    • Elle a, en effet, considéré que ce système n’était autorisé que lorsque les informations relatives au traitement de données à caractère personnel étaient facilement accessibles.
    • La Commission a ainsi été conduite à sanctionner Google en suite de la modification de sa politique de confidentialité.
    • En l’espèce, le consentement se manifesterait par le fait que l’utilisateur coche la case matérialisant son accord aux conditions d’utilisation et aux règles de confidentialité.
    • Pour Google, ce consentement était éclairé dans la mesure où les informations données étaient suffisamment précises sur les opérations de traitement des données.
    • La CNIL relève toutefois que la mention de cette faculté de combinaison n’apparaît qu’au milieu des règles de confidentialité, dans le dernier tiers de la rubrique intitulée « Comment nous utilisons les données que nous collectons ».
    • Cette information, alors qu’elle a trait à une modification essentielle de la politique de confidentialité de la société, n’était donc pas accessible aux utilisateurs en première intention.
    • Par ailleurs, elle ne se distinguait pas des développements qui l’entourent, eux-mêmes formulés en termes généraux, notamment quant à la description des traitements de données.
    • Il était donc impossible de considérer en l’espèce que le fait de cliquer sur la case J’accepte des conditions d’utilisation puisse être considéré comme un accord explicite et spécifique à cette combinaison.
    • Pour être valable, le formulaire de consentement assorti de cases à cocher doit être suffisamment précis pour permettre à la personne de consentir en toute connaissance de cause.
  • Le recueil du consentement par défaut
    • Les cases pré-cochées
      • Les cases pré-cochés ne sont pas admises par la CNIL dans la mesure où la personne concernée reste passive.
      • Or l’exigence d’un consentement indubitable ne cadre pas bien avec les procédures d’obtention d’un consentement reposant sur l’inaction ou le silence des personnes concernées.
      • En effet, le silence ou l’inaction d’une partie comporte une ambiguïté intrinsèque (la personne concernée pourrait avoir voulu donner son accord ou pourrait simplement avoir voulu ne pas exécuter l’action).
    • Les courriers
      • Il y a pareillement ambiguïté lorsque des personnes sont réputées avoir donné leur consentement lorsqu’elles n’ont pas répondu à une lettre les informant que l’absence de réponse vaut consentement.
      • Dans ce type de situation, le comportement de la personne (ou plutôt son absence d’action) soulève de sérieux doutes sur le fait que la personne ait voulu marquer son accord.
      • Le fait que la personne n’ait pas effectué d’action positive ne permet pas de conclure qu’elle a donné son consentement.
      • Par conséquence, l’exigence de consentement indubitable ne sera pas satisfaite.
      • A cet égard, le groupe de travail a déclaré qu’un consentement fondé sur le silence de la personne est inadéquat dans le contexte de l’envoi de courriers électroniques à des fins de prospection directe.

III) Le consentement des enfants

Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants.

Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant.

A cet égard, l’article 8 du RGPD prévoit que « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Ainsi, cette disposition opère une distinction entre

  • D’une part, les enfants âgés de plus de 16 ans qui sont présumés être en mesure de consentir seuls, soit sans l’intervention de leurs représentants légaux, à un traitement de données à caractère personnel
  • D’autre part, les enfants âgés de moins de 16 ans qui, pour consentir à un traitement de données à caractère personnel, doivent obtenir l’autorisation de leurs représentants légaux

Le texte confère aux États membres une marge de manœuvre, en ce qu’ils peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Le législateur français a retenu comme limite, l’âge de 15 ans.

Lorsque le mineur n’a pas atteint l’âge limite, le RGPD précise qu’il appartient au responsable du traitement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

§2 : Les dérogations au principe du consentement

Si le consentement joue un rôle important dans la mise en œuvre d’un traitement de données à caractère personnel, cela n’exclut pas la possibilité que, compte tenu du contexte, d’autres fondements juridiques puissent être jugés plus appropriés par le responsable du traitement ou la personne concernée.

Le RGPD et la LIL prévoient 5 autres fondements juridiques sur la base desquels un traitement de données à caractère personnel peut être mise en œuvre.

Au nombre de ces fondements juridiques figurent :

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Une distinction peut ainsi être établie entre le cas où le traitement des données à caractère personnel se fonde sur le consentement indubitable de la personne concernée et les cinq autres cas.

En résumé, ces derniers décrivent des scénarios où le traitement peut se révéler nécessaire dans un contexte spécifique, comme l’exécution d’un contrat conclu avec la personne concernée, le respect d’une obligation légale imposée au responsable du traitement, etc.

Dans l’hypothèse où le consentement de la personne est requis, ce sont les personnes concernées elles-mêmes qui autorisent le traitement de leurs données à caractère personnel.

Il leur appartient de décider si elles permettent que leurs données soient traitées. Le consentement n’élimine pas pour autant la nécessité de respecter les principes énoncés par la LIL.

De plus, le consentement doit encore remplir certaines conditions essentielles pour être légitime. Dès lors que le traitement des données de l’utilisateur est, en définitive, laissé à sa discrétion, tout dépend de la validité et de la portée du consentement de la personne concernée.

Autrement dit, le premier motif, mentionné à l’article 6 a) du RGPD (le consentement) a trait à l’autodétermination de la personne concernée comme fondement de la légitimité.

Tous les autres motifs, en revanche, autorisent le traitement – moyennant des garanties et des mesures définies – dans des situations où, indépendamment du consentement, il est approprié et nécessaire de traiter les données dans un certain contexte pour servir un intérêt légitime spécifique.

En toute hypothèse, c’est au responsable du traitement des données qu’il revient initialement d’apprécier si les critères énoncés à l’article 7, points a) à f), sont remplis, sous réserve du respect du droit applicable et des orientations relatives à la façon dont ce droit doit être appliqué.

Ensuite, la légitimité du traitement peut faire l’objet d’une autre évaluation, et éventuellement être contestée, par les personnes concernées, par d’autres parties prenantes, par les autorités chargées de la protection des données, et en définitive la question peut être tranchée par les tribunaux.

I) Le respect d’une obligation légale

Ce fondement juridique renvoie à l’hypothèse où le traitement de données à caractère personnel est imposé au responsable du traitement par une obligation légale.

Il pourrait, par exemple, s’agir d’un texte qui impose aux employeurs de communiquer des données relatives aux rémunérations de leurs salariés à la sécurité sociale ou à l’administration fiscale, ou lorsque les institutions financières sont tenues de signaler certaines opérations suspectes aux autorités compétentes en vertu de règles visant à lutter contre le blanchiment d’argent. I

Pour que ce fondement juridique, puisse s’appliquer, l’obligation à laquelle est soumis le responsable du traitement doit satisfaire à un certain nombre de conditions :

  • Une obligation légale ou réglementaire
    • L’obligation sur le fondement de laquelle le traitement est mis en œuvre, doit être imposée par la loi ou par un texte réglementaire et non, par exemple, par une cause contractuelle.
    • A cet égard, le texte légal doit remplir toutes les conditions requises pour rendre l’obligation valable et contraignante, et doit aussi être conforme au droit applicable en matière de protection des données, notamment aux principes de nécessité, de proportionnalité et de limitation de la finalité.
  • Une obligation édictée par l’Union européenne ou un État membre
    • Il importe de souligner que l’obligation légale dont se prévaut le responsable du traitement doit se rapporter aux lois de l’Union européenne ou d’un État membre.
    • Les obligations imposées par les lois de pays tiers (comme, par exemple, l’obligation de mettre en place des mécanismes de dénonciation des dysfonctionnements, instaurée en 2002 par la loi Sarbanes-Oxley aux États-Unis) ne relèvent pas de ce motif.
  • Une obligation à laquelle le responsable du traitement ne peut pas déroger
    • Le responsable du traitement ne doit pas avoir le choix de se conformer ou non à l’obligation.
    • Les engagements volontaires unilatéraux et les partenariats public-privé qui supposent le traitement de données au-delà de ce qui est requis par la loi n’entrent donc pas dans le champ d’application de l’article 7, point 1° de la LIL.
    • Par exemple, si un fournisseur de services internet décide – sans y être contraint par une obligation légale claire et précise – de surveiller ses utilisateurs afin de lutter contre le téléchargement illégal, l’article 7, 1°, ne pourra pas être invoqué comme fondement juridique approprié à cet effet.
  • Une obligation suffisamment claire et précise
    • L’obligation légale elle-même doit être suffisamment claire à propos du traitement de données à caractère personnel qu’elle requiert.
    • En conséquence, l’article 7, point 1°, s’applique sur la base de dispositions juridiques mentionnant explicitement la nature et l’objet du traitement.
    • Le responsable du traitement ne doit pas avoir de marge d’appréciation injustifiée quant à la façon de se conformer à l’obligation légale.

II) La sauvegarde de la vie de la personne concernée

Pour que ce fondement juridique puisse servir de base à un traitement de données à caractère personnel, il est nécessaire que le responsable du traitement justifie de la nécessité de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique.

Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.

Selon le Groupe de l’article 29, l’expression « intérêt vital » semble limiter l’application de ce motif à des questions de vie ou de mort, ou, à tout le moins, à des menaces qui comportent un risque de blessure ou une autre atteinte à la santé de la personne concernée.

A cet égard, le considérant 31 de la Directive du 24 octobre 1995 confirme que l’objectif de ce fondement juridique est de « protéger un intérêt essentiel à la vie de la personne concernée ».

Ni la directive, ni le RGPD ne précise, néanmoins, si la menace doit être immédiate. Ce silence, n’est pas sans soulever des questions quant à la portée de la collecte de données, par exemple, à titre de mesure préventive ou à grande échelle, comme la collecte des données relatives aux passagers transportés par une compagnie aérienne en cas de risque d’épidémie ou d’incident de sûreté.

Le groupe de l’article 29 considère qu’il convient de donner une interprétation restrictive à cette disposition. Bien que l’article 7, 2° de la LIL, ne limite pas expressément l’utilisation de ce motif à des situations où le consentement ne peut servir de fondement juridique, il est raisonnable de supposer que, lorsqu’il est possible et nécessaire de demander un consentement valable, il y a effectivement lieu d’obtenir ce consentement chaque fois que les conditions le permettent.

Cette disposition voit ainsi son application limitée à une analyse au cas par cas et elle ne peut normalement servir à légitimer, ni la collecte massive de données à caractère personnel, ni leur traitement.

III) L’exécution d’une mission de service public

Lorsqu’une personne exécute une mission de service public, l’article 7, 3° de l’autorise à mettre en œuvre un traitement de données à caractère personnel, sans qu’il soit besoin qu’elle recueille, au préalable, le consentement de la personne concernée.

Encore faut-il que la mission confiée au responsable du traitement porte bien sur une mission de service public, ce qui implique qu’elle relève de l’exercice d’une autorité publique conférée en vertu d’un texte légal ou réglementaire.

Ce fondement juridique couvre deux situations :

  • Première situation
    • Il concerne des situations où le responsable du traitement est lui-même investi d’une autorité publique ou d’une mission d’intérêt public (sans nécessairement être lui aussi soumis à une obligation légale de traiter des données) et où le traitement est nécessaire à l’exercice de cette autorité ou de cette mission.
    • Par exemple, une administration fiscale peut collecter et traiter la déclaration de revenus d’une personne afin d’établir et de vérifier le montant de l’impôt à payer.
  • Seconde situation
    • Ce fondement juridique couvre aussi des situations où le responsable du traitement n’est pas investi d’une autorité publique, mais est invité à communiquer des données à un tiers investi d’une telle autorité.
    • Par exemple, un agent d’un service public compétent pour enquêter sur un crime peut demander au responsable du traitement sa coopération dans le cadre d’une enquête en cours, plutôt que de lui ordonner de se soumettre à une demande de coopération spécifique.

En toute hypothèse, pour être licite, il faut que le traitement soit « nécessaire à l’exécution d’une mission de service public », ou encore que le responsable du traitement ou le tiers auquel il communique les données soit investi d’une autorité publique et que le traitement des données soit nécessaire à l’exercice de cette autorité.

Si, toutefois, le traitement suppose une ingérence dans la vie privée ou si le droit national l’exige par ailleurs afin de garantir la protection des personnes concernées, la base juridique encadrant le genre de traitement de données qui peut être autorisé devra être suffisamment précise et spécifique.

L’article 7, 3°, a potentiellement un champ d’application très large, ce qui plaide en faveur d’une interprétation stricte et d’une définition précise, au cas par cas, de l’intérêt public en jeu et de l’autorité publique justifiant le traitement.

IV) L’exécution, d’un contrat ou de mesures précontractuelles

L’article 7, 4° prévoit que le consentement de la personne concernée n’est pas requis lorsque le traitement de données à caractère personnel procède de l’exécution :

  • Soit d’un contrat auquel la personne concernée est partie
  • Soit de mesures précontractuelles prises à la demande de celle-ci

==> Sur l’exécution d’un contrat

Le fondement juridique de l’article 7, 4° vise d’abord les situations dans lesquelles le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

Pour exemple :

  • Il couvre, par exemple, la collecte de données à caractère personnel dans le cadre des formulaires bancaires que doit remplir la personne demandant l’ouverture d’un compte.
  • Il peut encore s’agir du traitement de son adresse pour que des produits achetés en ligne puissent être livrés, ou du traitement des informations figurant sur une carte de crédit afin d’effectuer une transaction.
  • Dans le contexte des relations de travail, ce motif peut autoriser, par exemple, le traitement des informations relatives aux salaires et des coordonnées de comptes bancaires pour que les salariés puissent être payés.

Comme le relève le Groupe de l’article 29, ce fondement juridique doit être interprétée de façon restrictive et ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat, mais plutôt imposé unilatéralement à la personne concernée par le responsable du traitement.

Le fait qu’un certain traitement de données soit couvert par un contrat ne signifie pas non plus automatiquement que le traitement soit nécessaire à son exécution.

Par exemple, l’article 7, 4° de la LIL ne peut pas servir de fondement juridique pour établir un profil des goûts et du mode de vie de l’utilisateur à partir de son historique de navigation sur un site internet et des articles achetés.

En effet, le responsable du traitement des données n’a pas été chargé, dans le contrat, d’établir un profil mais de fournir des produits et des services, par exemple.

Même si ces activités de traitement sont expressément mentionnées en petits caractères dans le contrat, elles n’en deviennent pas pour autant « nécessaires » à l’exécution de ce dernier.

Il existe donc ici un lien évident entre l’appréciation de la nécessité et le respect du principe de limitation de la finalité.

Il importe de déterminer la raison d’être exacte du contrat, c’est-à-dire sa substance et son objectif fondamental, car c’est ce qui permettra de vérifier si le traitement des données est nécessaire à l’exécution du contrat.

==> Sur l’exécution de mesures précontractuelles

Le recueil du consentement préalable de la personne concernée n’est pas non plus requis en cas d’exécution de mesures précontractuelles, soit celles prises avant la conclusion du contrat.

Il peut donc s’appliquer aux relations précontractuelles, pour autant que les démarches soient accomplies à la demande de la personne concernée, plutôt qu’à l’initiative du responsable du traitement ou d’un tiers.

Par exemple, si une personne demande à un détaillant de lui faire une offre de prix pour un produit, le traitement de données effectué à cette fin, tel que la conservation, pour une durée limitée, de l’adresse et des informations à propos de ce qui est demandé, pourra s’appuyer sur ce fondement juridique.

De même, si quelqu’un demande un devis à un assureur pour sa voiture, l’assureur est en droit de traiter les données nécessaires, par exemple, la marque et l’âge de la voiture, ainsi que d’autres données pertinentes et proportionnées, afin d’établir le devis.

En revanche, des vérifications détaillées comme, par exemple, le traitement de données d’examens médicaux par une compagnie d’assurances avant de proposer une assurance maladie ou une assurance vie ne seraient pas considérées comme une étape nécessaire accomplie à la demande de la personne concernée.

Le traitement à des fins de prospection commerciale sur l’initiative du responsable du traitement ne pourra pas non plus s’appuyer sur ce motif.

V) La réalisation d’un intérêt légitime

Dernier fondement juridique susceptible de servir de base à la mise en œuvre d’un traitement de données à caractère personnel : la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Ce fondement juridique, d’une portée exceptionnellement générale, est issue de la directive du 24 octobre 1995.

Cette directive ne donnait toutefois aucun critère. Son considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements :

  • Les activités de gestion courante des entreprises et autres organismes
  • La prospection commerciale
  • La prospection par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique

La directive précisait que les traitements devaient, en tout état de cause, être mis en œuvre dans le respect des dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

Sans préciser ce que l’on doit entendre par la notion d’« intérêt légitime », le RGPD énonce, dans son considérant 47 que « les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement ».

Le texte ajoute que l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

Bien que le RGPD apporte des précisions sur le fondement de l’intérêt légitime, il ne définit pas la notion, de sorte qu’il y a lieu de se reporter à l’avis émis par le Groupe de l’article 29 en date du 9 avril 2014.

Selon ce Groupe, pour déterminer si un traitement de données à caractère personnel peut être mise en œuvre sur le fondement de l’intérêt légitime poursuivi par le responsable du traitement, il convient de procéder par étape

A) Première étape

Elle consiste à déterminer si l’intérêt poursuivi par le responsable du traitement est légitime.

Il convient, tout d’abord, de noter que la notion d’intérêt légitime doit être distinguée de la notion de finalité.

  • La finalité est la raison spécifique pour laquelle les données sont traitées : le but de leur traitement
  • L’intérêt, quant à lui, est l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que la société pourrait tirer – du traitement.

La question qui alors se pose est de savoir ce qui rend un intérêt légitime ou illégitime. Il s’agit, autrement dit, de déterminer le seuil de ce qui constitue un intérêt légitime.

Pour le Groupe de l’article 29, un intérêt peut être considéré comme légitime dès lors que le responsable du traitement est en mesure de poursuivre cet intérêt dans le respect de la législation sur la protection des données et d’autres législations.

Autrement dit, un intérêt légitime doit être « acceptable au regard du droit ».

Aussi, un « intérêt légitime » doit donc :

  • Être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné)
  • Être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis)
  • Constituer un intérêt réel et présent (c’est-à-dire non hypothétique)

Le fait que le responsable du traitement poursuive un tel intérêt légitime en traitant certaines données ne signifie pas qu’il puisse nécessairement invoquer l’article 7, 5°, comme fondement juridique justifiant le traitement.

La légitimité de l’intérêt poursuivi n’est qu’un point de départ. La possibilité d’invoquer ce fondement juridique dépend du résultat de la mise en balance entre l’intérêt du responsable du traitement avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

À titre d’illustration : des responsables du traitement peuvent avoir un intérêt légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres et, en fin de compte, de proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients.

Dans cette perspective, l’article 7, 5°, peut constituer un fondement juridique approprié pour certains types d’activités de prospection, en ligne ou hors ligne, pour autant qu’il existe des garanties appropriées, incluant, entre autres, un mécanisme fonctionnel permettant de s’opposer à ce traitement

Cela ne signifie pas pour autant que les responsables du traitement pourraient invoquer l’article 7, 5°, pour surveiller indûment les activités en ligne ou hors ligne de leurs clients, pour compiler d’importants volumes de données à leur propos en provenance de différentes sources, collectées à l’origine dans d’autres contextes et à des fins différentes, et pour créer des profils complexes concernant la personnalité et les préférences des clients, sans les en informer, ni mettre à leur disposition un mécanisme fonctionnel permettant d’exprimer leur opposition, pour ne rien dire de leur consentement éclairé.

Une telle activité de profilage risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable du traitement.

B) Deuxième étape

Il s’agit ici de déterminer si le traitement de données à caractère personnel que le responsable envisage de mettre en œuvre est nécessaire à la réalisation de l’intérêt poursuivi.

Cette exigence a notamment été rappelée par la CJUE dans un arrêt du 13 mai 2014 aux termes duquel elle a considéré que l’article 7 de la directive du 24 octobre 1995 (devenu l’article 6 du RGPD), « permet le traitement de données à caractère personnel lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les droits fondamentaux de la personne concernée, notamment son droit au respect de sa vie privée à l’égard du traitement des données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12).

Lorsque, dès lors, le traitement n’est pas absolument nécessaire à la poursuite de l’intérêt légitime du responsable, le fondement de l’article 6 du RGPD n’est pas applicable.

C) Troisième étape

A supposer que le traitement de données à caractère personnel soit nécessaire à la réalisation de l’intérêt légitime du responsable, encore faut-il, pour être licite, que cet intérêt ne porte pas atteinte à l’intérêt et aux droits et libertés fondamentaux de la personne concernée. Aussi, cela implique-t-il d’opérer une mise en balance.

A cet égard, comme le souligne le Groupe de l’article 29, il importe de relever qu’à la différence de l’«intérêt» du responsable du traitement, l’«intérêt» des personnes concernées n’est pas suivi ici de l’adjectif «légitime».

Cela suppose que la protection de l’intérêt et des droits des individus a une portée plus vaste. Même les personnes qui se livrent à des activités illégales ne devraient pas faire l’objet d’une ingérence disproportionnée dans l’exercice de leurs droits et de leurs intérêts.

Par exemple, un individu qui peut avoir commis un vol dans un supermarché pourrait encore voir son intérêt prévaloir contre la publication par le propriétaire du magasin de sa photo et de son adresse privée sur les murs du supermarché ou et/ou sur l’internet.

En toute hypothèse, il apparaît que l’intérêt légitime poursuivi par le responsable du traitement et les incidences sur l’intérêt et les droits de la personne concernée se présentent sous la forme d’un spectre.

L’intérêt légitime peut être, selon les cas, minime, relativement important ou impérieux.

De même, les incidences sur l’intérêt et les droits des personnes concernées peuvent présenter plus ou moins de gravité et peuvent être anodines ou très préoccupantes.

  • L’intérêt légitime poursuivi par le responsable du traitement, quand il est peu important, ne prévaudra généralement sur l’intérêt et les droits des personnes concernées que dans les cas où les incidences sont encore plus insignifiantes.
  • D’un autre côté, un intérêt légitime impérieux peut justifier, dans certains cas et sous réserve de garanties et de mesures adéquates, une ingérence même grave dans la vie privée ou d’autres conséquences importantes pour l’intérêt ou les droits des personnes concernées.

Il importe ici de souligner le rôle essentiel que les garanties peuvent jouer pour réduire les incidences injustifiées sur les personnes concernées et, partant, modifier l’équilibre des droits et des intérêts, au point que ceux de ces personnes ne prévalent plus sur l’intérêt légitime poursuivi par le responsable du traitement des données.

Le recours à des garanties ne suffit bien sûr pas à justifier, à lui seul, n’importe quel traitement dans toutes les situations envisageables.

Il faut en outre que les garanties en question soient adéquates et suffisantes, et qu’elles réduisent indubitablement et sensiblement les incidences sur les personnes concernées.

La mise en balance des intérêts en présence suppose de confronter les deux plateaux de la balance :

==> Sur le premier plateau de la balance

S’agissant du premier plateau de la balance, il convient d’apprécier l’intérêt légitime du responsable du traitement.

S’il est impossible de porter des jugements de valeur à l’égard de toutes les formes d’intérêt légitime envisageables, il est possible de formuler certaines orientations.

Comme indiqué précédemment, cet intérêt peut être insignifiant ou impérieux, manifeste ou plus controversé.

Pour apprécier la teneur de cet intérêt, plusieurs facteurs doivent être pris en compte :

  • L’exercice d’un droit fondamental par le responsable du traitement
    • Pour que l’intérêt légitime du responsable du traitement prévale, le traitement des données doit être « nécessaire » et « proportionné » à l’exercice du droit fondamental concerné.
    • À titre d’illustration, selon les circonstances, il peut s’avérer nécessaire et proportionné qu’un journal publie certains éléments incriminants à propos du train de vie d’un haut fonctionnaire impliqué dans un scandale de corruption présumé.
    • Il n’est pas question, néanmoins, de donner aux médias toute latitude de publier sans motif valable n’importe quel détail sur la vie privée des personnalités publiques.
  • Intérêt public/intérêt de la collectivité
    • Dans certains cas, le responsable du traitement peut choisir d’invoquer l’intérêt public ou l’intérêt de la collectivité (que ce soit prévu ou non par les lois ou les réglementations nationales).
    • Par exemple, des données à caractère personnel peuvent être traitées par une association caritative aux fins de la recherche médicale, ou par une organisation sans but lucratif dans le cadre d’une action de mobilisation contre la corruption.
    • Il peut aussi arriver que l’intérêt commercial d’une société privée coïncide dans une certaine mesure avec un intérêt public.
    • Cela peut être le cas, par exemple, pour lutter contre la fraude financière ou l’utilisation abusive de services
    • En général, le fait qu’un responsable du traitement agisse non seulement dans son propre intérêt légitime (commercial, par exemple), mais aussi dans l’intérêt de la collectivité, peut donner plus de « poids » à cet intérêt.
  • Autres intérêts légitimes
    • Dans certains cas, le contexte dans lequel un intérêt légitime apparaît peut se rapprocher de ceux où certains autres fondements juridiques peuvent être retenus
    • Par exemple, il se peut qu’une activité de traitement des données ne soit pas strictement nécessaire, mais qu’elle reste néanmoins pertinente pour l’exécution d’un contrat, comme il est possible qu’une loi autorise, le traitement de certaines données, sans pour autant l’exiger.

==> Le second plateau de la balance

L’autre plateau de la balance, à savoir l’incidence du traitement sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée, constitue un critère crucial.

Pour apprécier l’incidence du traitement, il convient de prendre en considération les conséquences aussi bien positives que négatives.

Il peut s’agir notamment de décisions ou de mesures éventuelles qui seront prises ultérieurement par des tiers et de situations où le traitement peut aboutir à l’exclusion de certaines personnes, à une discrimination à leur encontre, à de la diffamation ou, plus généralement, de situations qui comportent un risque de nuire à la réputation, au pouvoir de négociation ou à l’autonomie de la personne concernée.

En plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive ou d’une compromission effective ou potentielle de ces informations – du fait, par exemple, de leur divulgation sur l’internet.

L’effet dissuasif sur un comportement protégé, comme la liberté de recherche ou la liberté d’expression, qui peut résulter d’une surveillance constante ou d’un traçage, doit aussi être dûment pris en considération.

Afin d’évaluer l’incidence du traitement de données à caractère personnel sur la personnel concernée, le Groupe de l’article 29 préconise de prendre en compte un certain nombre de facteurs :

  • La nature des données
    • En général, plus les informations sont sensibles, plus les conséquences qu’elles peuvent avoir pour la personne concernée sont importantes.
    • Cela ne veut pas dire, cependant, qu’il est permis de traiter librement des données qui, en elles-mêmes, peuvent paraître anodines.
    • En effet, selon la façon dont elles sont traitées, même ces données peuvent avoir une incidence importante sur les individus
  • La façon dont les données sont traitées
    • L’analyse d’impact au sens large peut consister notamment à examiner si les données ont été publiées ou rendues accessibles par quelque autre moyen à un grand nombre de personnes, ou si des volumes considérables de données à caractère personnel sont traités ou combinés avec d’autres données (par exemple, en cas d’établissement de profils, à des fins commerciales, judiciaires, ou autres).
    • Le traitement à grande échelle de données apparemment anodines et leur combinaison avec d’autres données peuvent parfois permettre des inférences à propos de données plus sensibles.
  • Les attentes raisonnables de la personne concernée
    • Les attentes raisonnables de la personne concernée quant à l’utilisation et à la divulgation des données doivent être prises en compte dans la mise en balance.
    • A cet égard, il est important d’examiner si le statut du responsable du traitement des données, la nature de la relation ou du service fourni ou les obligations légales ou contractuelles applicables (ou d’autres engagements pris lors de la collecte) pourraient susciter des attentes raisonnables de confidentialité plus stricte et de limitations plus strictes en cas d’utilisation ultérieure.
  • Le statut du responsable du traitement des données et de la personne concernée
    • Le statut de la personne concernée et du responsable du traitement des données est aussi pertinent pour apprécier l’incidence du traitement.
    • Selon que le responsable du traitement des données est un individu ou une petite organisation, une grande multinationale, ou un organisme du secteur public et en fonction des circonstances, le rapport de force avec la personne concernée peut être plus ou moins grand.
    • Une grande multinationale dispose, par exemple, de ressources et d’un pouvoir de négociation considérables vis-à-vis d’une personne concernée, à titre individuel, et elle peut par conséquent être à même d’imposer ce qu’elle considère comme son « intérêt légitime » à la personne concernée, surtout si l’entreprise occupe une position dominante sur le marché.
    • D’un autre côté, le statut de la personne concernée a aussi son importance. Si, en principe, il y a lieu d’appliquer le critère de mise en balance par rapport à un individu moyen, certaines situations spécifiques appellent plutôt une approche au cas par cas : par exemple, il serait pertinent de prendre en considération le fait que la personne concernée est un enfant ou appartient à une catégorie de population plus vulnérable qui requiert une protection spéciale, comme, par exemple, les malades mentaux, les demandeurs d’asile ou les personnes âgées.

D) Quatrième étape

Afin de déterminer si le traitement de données à caractère personne peut être mis en œuvre sur le fondement juridique de l’intérêt légitime du responsable du traitement, c’est l’appréciation générale de la mise en balance qui déterminera si le résultat est acceptable ou non.

Plus l’incidence sur la personne concernée est significative, plus faudra prêter attention aux garanties qu’il convient de mettre en place.

Après une analyse et un examen attentif de tous les aspects du problème, un bilan provisoire peut être établi : une conclusion préliminaire peut être tirée afin de déterminer si l’intérêt légitime poursuivi par le responsable du traitement prévaut sur les droits et les intérêts des personnes concernées.

Il peut cependant y avoir des cas où le résultat de la mise en balance n’est pas clair et où il subsiste un doute quant à la question de savoir si l’intérêt légitime du responsable du traitement (ou du tiers) prévaut et si le traitement peut se fonder sur l’article 7, 5°.

C’est pourquoi il importe de procéder à une évaluation complémentaire dans le cadre de l’exercice de mise en balance.

À ce stade, le responsable du traitement peut envisager d’introduire d’autres mesures, qui vont au-delà du respect des dispositions horizontales de la directive, afin de contribuer à protéger les personnes concernées.

Les garanties supplémentaires destinées à prévenir toute incidence indue sur les personnes concernées peuvent notamment inclure :

  • La minimisation des données (par exemple, une limitation stricte du volume de données collectées, ou la suppression immédiate des données après utilisation)
  • Des mesures techniques et organisationnelles garantissant les données ne peuvent servir à la prise de décisions ou d’autres mesures à l’endroit des individus («séparation fonctionnelle»)
  • Un large recours aux techniques d’anonymisation, l’agrégation des données, les technologies renforçant la protection de la vie privée, la prise en compte du respect de la vie privée dès la conception, les analyses d’impact relatives à la vie privée et à la protection des données
  • Une transparence accrue, un droit général et inconditionnel de refuser le traitement, la portabilité des données et autres mesures connexes visant à renforcer le pouvoir des personnes concernées.

Lorsque les garanties prises par le responsable du traitement sont insuffisantes, la CNIL n’hésite pas à prononcer des sanctions à son encontre.

Tel avait été le cas dans le cadre d’une délibération rendue 19 juillet 2012 (CNIL, délib. n°2012-214 du 19 juillet 2012)

  • Les faits
    • Il s’agissait d’une société (la FNAC) qui avait pour activité la vente à distance sur catalogue.
    • Elle exploitait, plus précisément, un site de e-commerce
    • Lors du contrôle diligenté par la CNIL dans les locaux de cette société, il a été établi que dans les bases de la société figuraient notamment les données sur les produits commandés ainsi que sur les transactions commerciales effectuées, une table de cette base étant par ailleurs réservée aux coordonnées bancaires des clients.
    • Dans cette table apparaissaient les noms des porteurs des cartes bancaires, leurs numéros et leurs dates d’expiration, qui correspondent à environ 10 millions de cartes bancaires en cours de validité ainsi qu’à un grand nombre de cartes bancaires dont la date de validité est expirée.
    • La finalité de la conservation de ces données, qui permet aux clients de la société de ne pas avoir à les ressaisir lors d’une prochaine commande, consistait donc à leur offrir une prestation de portefeuille électronique.
  • Moyens de défense de la FNAC
    • Pour justifier cette pratique, la FNAC soutenait que la conservation de ces coordonnées bancaires dans ses bases était conforme aux conditions posées par les articles 7-4° et 7-5° de la loi du 6 janvier 1978 modifiée, qui prévoient qu’il n’est pas nécessaire de recueillir le consentement des personnes quand le traitement est lié
      • Soit à l’exécution d’un contrat auquel la personne concernée est partie
      • Soit à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée
    • A cet égard, elle soutenait
      • D’une part, que la conservation des données bancaires était conforme à la finalité annoncée au client
      • D’une part, que cette prestation faisait pleinement partie du service qui est proposé par l’e-commerçant
      • Enfin, qu’elle a en outre adopté une approche transparente à l’égard des visiteurs sur son site, où la conservation du numéro de carte bancaire et la possibilité de le supprimer sont mentionnés à plusieurs reprises.
  • Décision
    • Bien que pertinents, les arguments avancés n’ont pas suffi à emporter la conviction de la CNIL.
    • La Commission rejette notamment l’argument tenant à l’invocation du fondement de l’intérêt légitime poursuivi par la FNAC.
    • Celui-ci consistait, en l’espèce, à faciliter la réalisation d’un ou de plusieurs paiements successifs dans la durée, et par conséquent en l’optimisation des transactions commerciales effectuées sur son site.
    • Si la CNIL ne nie pas l’existence de cet intérêt légitime, elle rappelle, néanmoins, que doit être effectuée une balance entre les intérêts poursuivis par la société et ceux des personnes concernées.
    • A cet égard, la FNAC soutenait que les personnes étaient amplement informées de la conservation de leurs données bancaires ainsi que de la possibilité de les supprimer en se connectant à son compte client après chaque transaction effectuée sur son site.
    • Pour la Commission, sur ce point, si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées.
    • En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties.
    • Pour la CNIL c’est bien au titre des garanties minimales qu’il incombait à la FNAC de de recueillir le consentement des personnes au stockage de leurs coordonnées bancaires au-delà de la réalisation de la transaction, ce qu’elle n’a pas fait.
    • Elle estime par ailleurs que l’argument tiré d’une meilleure ergonomie du site ne pouvait pas prospérer.

Au bilan, il ressort de cette délibération de la CNIL que lorsqu’à l’issue de la mise en balance il apparaît que l’impact du traitement sur la personne concernée s’avère négatif, il appartient au responsable de mettre en place des garanties appropriée, sinon renforcées, afin de rééquilibrer la balance.