RGPD: le consentement des mineurs

Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants.

Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant.

A cet égard, l’article 8 du RGPD prévoit que « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Ainsi, cette disposition opère une distinction entre

  • D’une part, les enfants âgés de plus de 16 ans qui sont présumés être en mesure de consentir seuls, soit sans l’intervention de leurs représentants légaux, à un traitement de données à caractère personnel
  • D’autre part, les enfants âgés de moins de 16 ans qui, pour consentir à un traitement de données à caractère personnel, doivent obtenir l’autorisation de leurs représentants légaux

Le texte confère aux États membres une marge de manœuvre, en ce qu’ils peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Le législateur français a retenu comme limite, l’âge de 15 ans.

Lorsque le mineur n’a pas atteint l’âge limite, le RGPD précise qu’il appartient au responsable du traitement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

RGPD: le principe du consentement

Par principe, un traitement de données à caractère personnel ne peut être mis en œuvre qu’à la condition d’avoir recueilli préalablement le consentement de la personne concernée.

A défaut, sauf à rentrer dans le champ d’application d’une exception, le traitement est illicite, ce qui est de nature à exposer le responsable à des sanctions.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par consentement ?

Simple en apparence, l’appréhension de la notion de consentement n’est pas sans soulever de nombreuses difficultés.

L’altération de la volonté d’une personne est, en effet, susceptible de renvoyer à des situations très diverses :

  • La personne concernée peut être atteinte d’un trouble mental
  • Le consentement de la personne peut avoir été obtenu sous la contrainte physique ou morale
  • La personne concernée peut encore avoir été conduite à accepter le traitement sans que son consentement ait été donné en connaissance de cause, car une information déterminante lui a été dissimulée
  • Elle peut également s’être engagé par erreur

Il ressort de toutes ces situations que le défaut de consentement d’une personne peut être d’intensité variable et prendre différentes formes.

Aussi, convient-il de déterminer quels sont les caractères que doit présenter le consentement d’une personne faisant l’objet d’un traitement de données à caractère personnel pour être valable.

I) La qualité du consentement

Tandis que la LIL ne définit pas la notion de consentement, le RGPD remédie à ce silence textuel en le définissant comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Il ressort de cette définition que pour être valable, le consentement doit consister en :

  • Une manifestation de volonté par laquelle la personne concernée accepte le traitement
  • Une manifestation de volonté libre
  • Une manifestation de volonté spécifique
  • Une manifestement de volonté informée
  1. Une manifestation de volonté par laquelle la personne concernée accepte le traitement

La question qui ici se pose est de savoir ce que l’on doit entendre par manifestation de volonté.

Pour le déterminer, il convient de se reporter au considérant n°32 du RGPD dont on peut tirer plusieurs enseignements.

  • Un acte positif
    • Si le texte ne limite pas les formes que peut revêtir le consentement, il doit en tout état de cause s’agi d’une manifestation de volonté, soit d’un acte positif.
    • L’exigence selon laquelle la personne concernée doit « donner » son consentement semble indiquer qu’une simple absence d’action est insuffisante et qu’une action quelconque est nécessaire pour constituer un consentement, bien que différents types d’action, à apprécier «selon le contexte», soient possibles.
    • Ainsi, il ne saurait y avoir de consentement en cas de silence, ce qui pourrait se traduire par l’inaction de la personne concernée ou par des cases cochées par défaut.
    • La manifestation de volonté peut se faire au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.
    • Cette manifestation de volonté peut encore se faire en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.
  • Un acte positif clair
    • Une manifestation de volonté en elle-même n’est pas suffisante à établir le consentement au traitement de la personne concernée.
    • Cette manifestation de volonté ne doit pas être équivoque : elle doit être indubitable
    • Pour qu’un consentement soit indubitable, la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée de donner son consentement.
    • En d’autres termes, la manifestation de volonté par laquelle la personne concernée marque son accord ne doit laisser aucune ambiguïté quant à son intention.
    • S’il existe un doute raisonnable sur l’intention de la personne concernée, il y a ambiguïté.
  • La portée de la manifestation de volonté
    • Le consentement donné par la personne concernée vaut pour toutes les activités de traitement ayant la ou les mêmes finalités.
    • Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble d’entre elles.
    • Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

2. Une manifestation de volonté libre

Pour être valable, le consentement de la personne concernée doit avoir été donné sans contrainte.

Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement.

Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

C’est le cas, par exemple, lorsque la personne concernée est sous l’influence du responsable du traitement, dans le cadre d’une relation de travail, notamment.

Dans ce cas, même s’il n’en est pas nécessairement toujours ainsi, la personne concernée peut se trouver dans une situation de dépendance vis-à-vis du responsable du traitement – en raison de la nature de la relation ou de circonstances particulières – et peut craindre d’être traitée différemment si elle n’accepte pas le traitement de ses données.

Le Groupe de l’article 29 a eu l’occasion d’affirmer que «le consentement libre désigne une décision volontaire, prise par une personne en pleine possession de ses facultés, en l’absence de toute coercition, qu’elle soit sociale, financière, psychologique ou autre ».

3. Une manifestation de volonté spécifique

Pour être valable, le consentement ne doit pas seulement être libre, il doit également être spécifique.

En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas valable.

Pour être spécifique, le consentement doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données. Il ne peut pas s’appliquer à un ensemble illimité d’activités de traitement.

En d’autres termes, le contexte dans lequel le consentement s’applique est limité.

Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. Il couvre notamment les données qui sont traitées et les finalités pour lesquelles elles le sont.

Un « consentement spécifique » est dès lors intrinsèquement lié au fait que le consentement doit être informé.

En principe, il devrait suffire que les responsables du traitement obtiennent un consentement unique pour les différentes opérations, si celles-ci relèvent des attentes raisonnables de la personne concernée.

La Cour de justice de l’Union européenne s’est prononcée sur cette question dans un arrêt du 5 mai 2001, dans le cadre d’une question préjudicielle posée sur l’article 12, paragraphe 2, de la directive « vie privée et communications électroniques ».

Cette question portait sur la nécessité du renouvellement du consentement des abonnés qui ont déjà consenti à la publication de leurs données personnelles dans un annuaire, afin que celles-ci soient transférées en vue de leur publication par d’autres services d’annuaire.

La Cour a jugé que, dès lors que l’abonné a été correctement informé de la possible transmission des données à caractère personnel le concernant à une entreprise tierce et que celui-ci a consenti à la publication desdites données dans un tel annuaire, la transmission de ces données n’exige pas de nouveau consentement de la part de l’abonné, s’il est garanti que les données concernées ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication (CJUE,  5 mai 2001 Aff.  C-543/09, Deutsche Telekom AG)

4. Une manifestement de volonté informée

Il ressort du RGPD que le consentement de la personne concernée par le traitement doit être informée.

Selon le Groupe de l’article 29 cela signifie que qu’« un consentement … doit être fondé sur l’appréciation et la compréhension des faits et des conséquences d’une action. La personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents, en particulier ceux spécifiés aux articles 10 et 11 de la directive, tels que la nature des données traitées, les finalités du traitement, les destinataires d’éventuels transferts et ses droits. Cela suppose également la connaissance des conséquences du refus de consentir au traitement des données en question ».

Autrement dit, la personne concernée doit être à même de consentir au traitement en toute connaissance de cause.

Afin de satisfaire cet objectif, il convient donc que les informations qui lui sont fournies appropriées.

Deux exigences doivent alors être remplies qui tiennent à :

  • La qualité des informations: la manière dont les informations sont communiquées (texte en clair, sans jargon, compréhensible, visible) est capitale pour apprécier si le consentement est « informé ». La manière dont les informations doivent être fournies dépend du contexte. Un utilisateur régulier/moyen devrait être en mesure de les comprendre ;
  • L’accessibilité et la visibilité des informations: les informations doivent être communiquées directement à la personne concernée. Il ne suffit pas que les informations soient « disponibles » quelque part.

II) La preuve du consentement

Le considérant n°42 du RGPD énonce que lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement.

Il échoit, en conséquence, aux responsables de traitements de données à caractère personnel de conserver les preuves attestant que le consentement a effectivement été donné par la personne concernée.

A cet égard, des déclarations expresses pour marquer un accord, comme un accord signé ou une déclaration écrite attestant la volonté de consentir sont des procédures ou des mécanismes qui se prêtent particulièrement bien à la fourniture d’un consentement indubitable.

Plus délicate en revanche est le système des cases à cocher :

  • Les cases à cocher
    • Sur le principe, un système de cases à cocher assorties, par exemple, de la mention « j’accepte les conditions générales d’utilisation», est admis pour recueillir le consentement de la personne concernée.
    • Dans une délibération 2013-420 du 3 janvier 2014 la CNIL a néanmoins posé des limites.
    • Elle a, en effet, considéré que ce système n’était autorisé que lorsque les informations relatives au traitement de données à caractère personnel étaient facilement accessibles.
    • La Commission a ainsi été conduite à sanctionner Google en suite de la modification de sa politique de confidentialité.
    • En l’espèce, le consentement se manifesterait par le fait que l’utilisateur coche la case matérialisant son accord aux conditions d’utilisation et aux règles de confidentialité.
    • Pour Google, ce consentement était éclairé dans la mesure où les informations données étaient suffisamment précises sur les opérations de traitement des données.
    • La CNIL relève toutefois que la mention de cette faculté de combinaison n’apparaît qu’au milieu des règles de confidentialité, dans le dernier tiers de la rubrique intitulée « Comment nous utilisons les données que nous collectons ».
    • Cette information, alors qu’elle a trait à une modification essentielle de la politique de confidentialité de la société, n’était donc pas accessible aux utilisateurs en première intention.
    • Par ailleurs, elle ne se distinguait pas des développements qui l’entourent, eux-mêmes formulés en termes généraux, notamment quant à la description des traitements de données.
    • Il était donc impossible de considérer en l’espèce que le fait de cliquer sur la case J’accepte des conditions d’utilisation puisse être considéré comme un accord explicite et spécifique à cette combinaison.
    • Pour être valable, le formulaire de consentement assorti de cases à cocher doit être suffisamment précis pour permettre à la personne de consentir en toute connaissance de cause.
  • Le recueil du consentement par défaut
    • Les cases pré-cochées
      • Les cases pré-cochés ne sont pas admises par la CNIL dans la mesure où la personne concernée reste passive.
      • Or l’exigence d’un consentement indubitable ne cadre pas bien avec les procédures d’obtention d’un consentement reposant sur l’inaction ou le silence des personnes concernées.
      • En effet, le silence ou l’inaction d’une partie comporte une ambiguïté intrinsèque (la personne concernée pourrait avoir voulu donner son accord ou pourrait simplement avoir voulu ne pas exécuter l’action).
    • Les courriers
      • Il y a pareillement ambiguïté lorsque des personnes sont réputées avoir donné leur consentement lorsqu’elles n’ont pas répondu à une lettre les informant que l’absence de réponse vaut consentement.
      • Dans ce type de situation, le comportement de la personne (ou plutôt son absence d’action) soulève de sérieux doutes sur le fait que la personne ait voulu marquer son accord.
      • Le fait que la personne n’ait pas effectué d’action positive ne permet pas de conclure qu’elle a donné son consentement.
      • Par conséquence, l’exigence de consentement indubitable ne sera pas satisfaite.
      • A cet égard, le groupe de travail a déclaré qu’un consentement fondé sur le silence de la personne est inadéquat dans le contexte de l’envoi de courriers électroniques à des fins de prospection directe.

III) Le consentement des enfants

Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants.

Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant.

A cet égard, l’article 8 du RGPD prévoit que « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Ainsi, cette disposition opère une distinction entre

  • D’une part, les enfants âgés de plus de 16 ans qui sont présumés être en mesure de consentir seuls, soit sans l’intervention de leurs représentants légaux, à un traitement de données à caractère personnel
  • D’autre part, les enfants âgés de moins de 16 ans qui, pour consentir à un traitement de données à caractère personnel, doivent obtenir l’autorisation de leurs représentants légaux

Le texte confère aux États membres une marge de manœuvre, en ce qu’ils peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Le législateur français a retenu comme limite, l’âge de 15 ans.

Lorsque le mineur n’a pas atteint l’âge limite, le RGPD précise qu’il appartient au responsable du traitement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

RGPD: L’exigence de conservation des données pendant une durée pertinente

L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement.

Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées.

A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations.

§1 : Le principe

Dans sa délibération n°2005-213 du 11 octobre 2005 la CNIL avait considéré que, au fond, « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives ».

Aussi, la Commission a-t-elle pour mission de veiller au respect de ce principe s’agissant, en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations.

A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points :

  • Le point de départ de la durée de conservation
  • Le cycle de conservation des données
  • Le quantum de la durée de conservation
  • Les modalités de la conservation

A) Sur le point de départ de la durée de conservation

Dans une délibération n°2013-420 du 3 janvier 2014 la CNIL a décidé que :

  • D’une part, la fixation de durées de conservation définies ne saurait avoir pour objet ni pour effet de supprimer des données des utilisateurs alors qu’eux-mêmes en auraient encore l’usage.
  • D’autre part, le point de départ d’une durée de conservation n’est pas fonction de la date de la collecte, mais de la suppression du compte utilisateur

Il en résulte, pour la Commission, que la fixation de ce point de départ autorise le responsable du traitement à conserver les données collectées des années durant, si nécessaire.

Pour le Conseil d’état, le point de départ de la durée de conservation des données est « le dernier fait enregistré », lequel « doit nécessairement être entendu comme le fait constitutif de la contravention ou tout acte postérieur interruptif de la prescription » (CE 30 juill. 2014, n°359402).

En toute hypothèse, au terme au terme de la réalisation du traitement (l’exécution d’un contrat par exemple), les données doivent être :

  • Soit effacées
  • Soit archivées
  • Soit faire l’objet d’un processus d’anonymisation, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

B) Sur le cycle de conservation des données

Il ressort de l’analyse menée par la CNIL que le cycle de conservation des données à caractère personnel comporte trois phases successives distinctes :

  • L’archivage courant
  • L’archivage intermédiaire
  • L’archivage définitif
  1. Sur l’archivage courant

Il s’agit de la durée d’utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

Toutes les données qui intéressent l’exécution d’un contrat peuvent être conservées par le responsable du traitement.

Sans ces données, la réalisation de la prestation serait rendue impossible. Il apparaît donc pleinement justifié qu’elles puissent être conservées pendant toute la durée de la convention.

Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Si des mesures de sécurité informatiques sont indispensables, il convient, en outre, de prévoir des mesures de sécurité physique, notamment lorsque des dossiers sont archivés sous format papier.

Lorsque l’archivage est confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et la confidentialité des données qui lui sont confiées.

2. Sur l’archivage intermédiaire

==> Les cas d’archivage intermédiaire

La CNIL a énoncé plusieurs cas au titre desquels il apparaît justifié que les données à caractère personnel soient conservées pour des durées plus longues que l’exécution du contrat : on parle alors d’archivage intermédiaire.

Au nombre des cas visés par la CNIL figurent :

  • L’hypothèse où il existence une obligation légale de conservation de données pendant une durée fixée ;
  • L’hypothèse où en l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
  • L’hypothèse où, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, certaines données peuvent être traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

==> La limitation de l’archivage

La Commission a eu l’occasion de préciser que, en cas d’archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires au respect de l’obligation prévue ou lui permettant de faire valoir un droit en justice : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables.

Les données ainsi archivées ne sont conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi : elles doivent donc être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.

Par exemple, des données archivées pour se prémunir d’une action en justice durant le temps d’une prescription ou d’une forclusion doivent être supprimées lorsque cette action est prescrite forclose.

==> Les modalités de l’archivage

Pour les archives intermédiaires, le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

  • Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux)
  • Dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter

En tout état de cause, l’accès aux données faisant l’objet d’un archivage intermédiaire doit être limité.

==> Sur l’archivage définitif

L’intérêt public (historique, scientifique ou statistique) peut parfois justifier que certaines données ne fassent l’objet d’aucune destruction : c’est l’archivage définitif.

Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité.

La conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche.

S’agissant des modalités de conservation des archives définitives, la CNIL préconise de les conserver sur un support physique indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter (par exemple, la direction des archives lorsqu’elle existe).

C) Sur le quantum de la durée de conservation des données

Afin de déterminer le quantum de la durée de conservation des données à caractère personnel, il convient de se reporter

  • Soit aux textes légaux et réglementaires
  • Soit aux délibérations de la CNIL
  1. Sur les textes légaux et réglementaires

Il convient de se reporter aux textes qui :

  • Soit posent des durées de conservation des données à caractère personnel
  • Soit posent des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

==> Sur les textes posant des durées de conservation des données à caractère personnel

  • Les données relatives à la gestion du personnel d’une entreprise (5 ans)
    • L’article R. 1221-26 du Code du travail dispose que « les mentions portées sur le registre unique du personnel sont conservées pendant cinq ans à compter de la date à laquelle le salarié ou le stagiaire a quitté l’établissement»
  • Les données relatives aux bulletins de paie et aux reçus pour solde de tout compte (5 ans)
    • L’article L. 3243-4 du Code du travail prévoit que « l’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans»
  • Les documents comptables des commerçants (10 ans)
    • L’article L. 123-22 du Code de commerce dispose que « les documents comptables et les pièces justificatives sont conservés pendant dix ans. »
  • Les documents fiscaux (6 ans)
    • L’article L. 102 B du Livre des procédures fiscales prévoit que les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle de l’administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis.
  • Les contrats conclus par voie électronique (10 ans)
    • L’article L. 213-1 du Code de la consommation prévoit que lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à 120 euros, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande.
    • L’article D. 213-2 précise que ce délai est fixé à dix ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate.
    • Dans le cas contraire, le délai court à compter de la conclusion du contrat jusqu’à la date de livraison du bien ou de l’exécution de la prestation et pendant une durée de dix ans à compter de celle-ci.
  • Les données de trafic collectées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (1 an)
    • L’article R. 10-13 du Code des postes et communications électroniques prévoit que leur durée de conservation est d’un an à compter du jour de l’enregistrement.
    • A cet égard, sont conservées :
      • Les informations permettant d’identifier l’utilisateur ;
      • Les données relatives aux équipements terminaux de communication utilisés ;
      • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
      • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
      • Les données permettant d’identifier le ou les destinataires de la communication.
  • Le dossier médical dans les établissements de santé publics et privés (20 ans)
    • L’article R. 1112-7 du Code de la santé publique prévoit que le dossier médical mentionné à l’article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein.
    • Lorsqu’en application des dispositions qui précèdent, la durée de conservation d’un dossier s’achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date.
    • Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
    • Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l’établissement.
    • A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé.
    • La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale.
    • Dans les établissements publics de santé et les établissements de santé privés participant à l’exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l’administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d’intérêt scientifique, statistique ou historique.
  • Les données issues d’un dispositif de vidéosurveillance (1 mois)
    • L’article L. 252-3 du Code de la sécurité intérieure prévoit que « les modalités de transmission des images et d’accès aux enregistrements ainsi que la durée de conservation des images, dans la limite d’un mois à compter de cette transmission ou de cet accès, sans préjudice des nécessités de leur conservation pour les besoins d’une procédure pénale. »

==> Sur les textes posant des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

  • Délai de prescription de droit commun en matière en matière civile (5 ans)
    • L’article 2224 prévoit que les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.
  • Délai de prescription en matière commerciale (5 ans)
    • L’article L. 110-4 du Code de commerce prévoit que les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes.
  • Délai de prescription en matière de droit de la consommation (2 ans)
    • L’article L. 218-2 du Code de la consommation dispose que l’action des professionnels, pour les biens ou les services qu’ils fournissent aux consommateurs, se prescrit par deux ans.

2. Sur les délibérations de la CNIL

  • Prospection commerciale
    • La CNIL s’est prononcée sur la durée de conservation des données à caractère personnel en matière de prospection commerciale dans une délibération n° 2016-264 du 21 juillet 2016 portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects
    • A cet égard, il a estimé que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
    • Les données à caractère personnel relatives à un prospect non client peuvent, quant à elles, être également conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
    • Au terme de ce délai de trois ans, le responsable de traitement peut reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales.
    • En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.
  • Données contenues dans les badges détenus par les salariés sur leur lieu de travail
    • Dans une délibération n°02-001 du 08 janvier 2002 la CNIL a considéré que les éléments d’identification des salariés ou des agents publics ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l’agent de l’entreprise ou de l’administration.
    • S’agissant des éléments relatifs aux déplacements des personnes, ils ne doivent pas être conservés plus de trois mois.
    • Toutefois, les informations relatives aux salariés ou aux agent publics peuvent être conservés pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail.
    • Quant à la conservation des données relatives aux motifs d’absence, elle est limitée à une durée de cinq ans sauf dispositions législatives contraires.
    • En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans.
  • Données résultant de l’évaluation et de la sélection des risques en matière d’octroi de crédit (scoring)
    • La CNIL a affirmé, dans une délibération 2006-019 du 02 février 2006 que, en cas de rejet de la demande de crédit, les informations spécialement collectées pour son instruction sont conservées au maximum pendant une période de six mois à compter du dépôt de la demande, lorsque le demandeur n’est pas par ailleurs client de l’établissement de crédit.
    • Elles ne peuvent être utilisées qu’aux fins de l’instruction de nouvelles demandes de crédit.
  • Les cookies
    • La CNIL s’est prononcée sur la durée de vie des cookies dans une délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.
    • Relevant que le consentement à être suivi peut être oublié par les personnes qui l’ont manifesté à un instant donné, la commission a estimé nécessaire de limiter dans le temps la portée de ce dernier.
    • Aussi, recommande-elle que le délai de validité du consentement au dépôt des cookies soit porté à treize mois au maximum.
    • A l’expiration de ce délai, le consentement devra être à nouveau recueilli.
    • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

D) Les modalités de conservation

Quel que soit le type d’archivage effectué par le responsable du traitement, celui-ci doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Le non-respect de l’obligation de sécurité est sanctionné par l’article 226-17 du code pénal ( cinq ans d’emprisonnement et de 300 000 euros d’amende).

L’article 35 de la loi du 6 janvier 1978 prévoit, par ailleurs que le responsable du traitement, lorsque l’archivage est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci.

Pratiquement, dans sa délibération n°2005-213 du 11 octobre 2005, la CNIL a préconisé plusieurs modalités de conservation selon le type d’archive concernée :

  • S’agissant des archives intermédiaires, il est recommandé que l’accès à celles-ci soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
  • S’agissant des archives définitives, il est recommandé qu’elles soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

La CNIL recommande, en outre, afin de garantir l’intégrité des données archivées, de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que des dispositifs de traçabilité des consultations des données archivées.

§2 : Les dérogations

L’article 36 de la LIL dispose que « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »

Ainsi, est autorisée la conservation de données à caractères personnel pour une durée qui excède la finalité initiale du traitement lorsqu’elles sont traitées à des fins historiques, statistiques ou scientifiques.

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».

Si, le RGPD ne semble pas distinguer selon la nature des archives conservées, tel n’est pas le cas de la LIL qui renvoie à l’article L. 212-3 du Code du patrimoine.

Cette disposition ne concerne, en effet, que les seules archives publiques.

Par archives publiques, il faut entendre, au sens de l’article L. 211-4 du Code du patrimoine :

  • Les documents qui procèdent de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public. Les actes et documents des assemblées parlementaires sont régis par l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires ;
  • Les documents qui procèdent de la gestion d’un service public ou de l’exercice d’une mission de service public par des personnes de droit privé ;
  • Les minutes et répertoires des officiers publics ou ministériels et les registres de conventions notariées de pacte civil de solidarité.

L’article 89 du RGPD précise que le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée.

Ces garanties doivent garantir la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière.

Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Le considérant n°158 du RGPD précise que lorsque les données à caractère personnel sont traitées à des fins archivistiques, les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public doivent être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès.

RGPD: L’exigence d’un traitement portant sur des données exactes et complètes

L’article 6, 4° de la LIL prévoir que peuvent faire l’objet d’un traitement les données à caractère personnel « exactes, complètes, si nécessaire, mises à jour ».

De son côté le RGPD énonce en son article 5 que « les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) »

Il ressort de ces dispositions que l’exactitude des données à caractère personnel est exigée, tant au moment de la collecte qu’au moment du traitement.

Pour assurer le respect de cette obligation, il appartient au responsable du traitement de « prendre les mesures appropriées pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».

A cet égard, dans une délibération du 1er mars 2016, la CNIL a précisé que « l’article 6-4° consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir » (CNIL Délib. 2016-053 du 1 mars 2016).

Reste qu’il s’infère du RGPD que l’exigence d’un traitement portant sur des données exactes et complètes est une obligation, non pas de résultat mais de moyen.

Le texte prévoit, en effet, que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

RGPD: le principe de proportionnalité

§1 : Les textes

La LIL prévoit en son article 6, 3° que les données à caractère personnel « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Quant au RGPD, l’article 5, c) dispose que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

Il ressort de ces deux disposions que tout traitement de données à caractère personnel doit être guidé par l’observance du principe de proportionnalité.

Ce principe est issu de la directive du 24 octobre 1995 qui avait posé cette exigence. Le RGPD le qualifie encore de principe de minimisation des données.

§2 : Exposé du principe

Au fond, la règle véhiculée par le principe de proportionnalité est que seules les données à caractères personnel qui sont indispensables à l’opération envisagée ne peuvent faire l’objet d’un traitement. A défaut, le traitement est illicite.

La question qui alors se pose est de savoir à partir de quand peut-on considérer que le traitement d’une donnée à caractère personnel est indispensable.

Pour le déterminer il convient de se reporter à deux considérations que sont :

  • La finalité du traitement
  • La nature des données collectées

==> S’agissant de la finalité du traitement

Il convient de se reporter à la finalité déclarée par le responsable du traitement afin de déterminé si celui-ci est proportionné.

Exemples :

  • Décision n° 2010-113 du 22 av. 2010 (ACADOMIA)
    • Les faits
      • La société ACADOMIA a pour activité principal de sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves.
      • Les enseignants ne sont pas recrutés par la société, mais par les familles l’ayant mandatée à ces fins.
      • En sa qualité de mandataire, la société gère ainsi pour le compte de ses clients tous les aspects commerciaux et de gestion de cette relation parent-enseignant, y compris l’accomplissement des formalités requises par l’URSSAF et les organismes de sécurité sociale lorsque ses clients souhaitent en être déchargés.
      • Sur son site web, la société enregistrait des commentaires sur les enseignants et les clients.
        • Ont ainsi été relevés la présence de mentions telles que :
          • Hyper hyper hyper stressée
          • Sa bouche tremble quand elle me parle
          • Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) , négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… , petit détail annexe : sent mauvais de la bouche
          • ATTENTION : présente mal /sent l’alcool / parle bizarrement , sent la transpiration (ne connait pas le déo) ;
          • GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE .
    • La décision
      • La CNIL a considéré qu’il était parfaitement légitime de procéder à la collecte d’informations concernant les élèves et leurs parents, en vue d’adapter les prestations fournies par la société aux situations individuelles et de faciliter la relation commerciale avec la clientèle.
      • Elle a encore estimé légitime de collecter des informations concernant les enseignants qui seront amenés à travailler au contact d’enfants, dès lors que cette collecte a pour objet de permettre à la société d’évaluer leurs compétences professionnelles et leur aptitude à dispenser des cours.
      • En revanche, elle a jugé qu’on ne saurait admettre que soient enregistrés des commentaires excessifs et inappropriés sur ces personnes, qui seraient susceptibles de porter gravement atteinte à leur vie privée.
      • Ainsi, pour la CNIL, le traitement des données n’était pas proportionné à la finalité poursuivie.
  • Décision n°2010-112 du 22 octobre 2010
    • Les faits
      • La CNIL a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail
      • Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.
      • A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur l’un de ses sites.
      • L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site.
      • Le dispositif installé visait le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail.
      • La société n’avait procédé à aucune formalité préalable concernant ce dispositif installé en 2006.
    • La décision
      • Dans cette affaire, la CNIL a jugé le traitement de données à caractère personnel effectué par la société illicite, en conséquence de quoi elle a ordonné l’interruption dudit traitement.
      • Pour la Commission
        • D’une part, le dispositif mis en place n’est pas justifié au regard de la nature des tâches accomplies par les salariés et disproportionné par rapport à l’objectif de sécurité, dès lors qu’il apparaît que ce dispositif place les salariés sous la surveillance constante de leur employeur
        • D’autre part, il a été relevé que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo conservés depuis plus de deux mois au jour du contrôle sur place. Or il s’agit là d’une durée a priori excessive au regard de la finalité du traitement, et en tout état de cause contraire aux engagements pris par la société dans sa déclaration effectuée auprès de la CNIL qui prévoyait une durée de conservation d’un mois.
  • Décisions du 17 décembre 2009 n°5335/06 B.B. c. France (n°5335/06) et n°22115/06 Gardel c. France et M.B. c. France
    • Les requérants dans ces affaires, qui avaient été condamnés à des peines de réclusion criminelle de viol sur mineurs de 15 ans par personne ayant autorité, se plaignaient en particulier de leur inscription au Fichier judiciaire national automatisé des auteurs d’infractions sexuelles (« FIJAIS »).
    • Dans les trois affaires, la Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que l’inscription au FIJAIS, telle qu’elle avait été appliquée aux requérants, avait ménagé un juste équilibre entre les intérêts privés et publics concurrents en jeu.
    • La Cour a réaffirmé en l’espèce que la protection des données à caractère personnel joue un rôle fondamental dans le respect de la vie privée et familiale, d’autant plus quand il s’agit de données personnelles soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières.
    • Cela étant, la Cour ne saurait mettre en doute les objectifs de prévention du fichier en question. En outre, les requérants ayant la possibilité concrète de présenter une requête en effacement des données, la Cour a estimé que la durée de conservation des données – de 30 maximum – n’était pas disproportionnée au regard du but poursuivi par la mémorisation des informations.
    • Enfin, la consultation de telles données par les autorités judiciaires, de police et administratives était régie par une obligation de confidentialité et des circonstances précisément déterminées

==> S’agissant de la nature des données

Le caractère proportionné du traitement s’apprécie, non seulement au regard de la finalité poursuivie, mais encore au regard de la nature des données à caractère personnel collectées.

Exemples :

  • CEDH 4 déc. 2008, S. et Marper c. Royaume-Uni
    • Cette affaire concernait la rétention indéfinie dans une base de donnée des empreintes digitales et données ADN (échantillons cellulaires et profil ADN6) des requérants après que les procédures pénales dirigées contre eux se furent soldées par un acquittement pour l’un et un classement sans suite pour l’autre.
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la conservation en cause s’analysait en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne pouvait passer pour nécessaire dans une société démocratique.
    • La Cour a considéré en particulier que l’usage des techniques scientifiques modernes dans le système de la justice pénale ne pouvait être autorisé à n’importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d’un large recours à ces techniques, d’une part, et des intérêts essentiels s’attachant à la protection de la vie privée, d’autre part, et que tout État revendiquant un rôle de pionnier dans l’évolution de nouvelles technologies portait la responsabilité particulière de « trouver le juste équilibre» en la matière.
    • Elle a conclu que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel qu’il avait été appliqué aux requérants en l’espèce, ne traduisait pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.
  • CE, 28 mars 2014, n° 361042, SNES
    • Par requête enregistrée le 13 juillet 2012, un syndicat avait demandé au Conseil d’État d’annuler le décret n° 2012-342 du 8 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé « SIRHEN » (système d’information des ressources humaines de l’éducation nationale) relatif à la gestion des ressources humaines du ministère de l’éducation nationale, de la jeunesse et de la vie associative et du ministère de l’enseignement supérieur et de la recherche.
    • La création de SIRHEN a été autorisée par le décret du 8 mars 2012 précité, publié au J.O. du 10 mars 2012, après avis motivé de la Commission nationale de l’informatique et des libertés (CNIL), en application du I de l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
    • Ce traitement, qui réunit les différentes bases de gestion des ressources humaines du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche en une seule application, a pour finalités la gestion administrative et financière des personnels, la gestion des moyens et le pilotage national et académique, par la production d’indicateurs statistiques.
    • En l’espèce, le Conseil d’État a rejeté la requête, à l’exception des seules dispositions des troisième et sixième alinéas du 1° du B du I de l’annexe du décret du 8 mars 2012 en tant qu’elles prévoient la collecte d’informations relatives au sexe et à la nationalité des conjoints des agents figurant dans SIRHEN.
    • Le Conseil d’État a ensuite estimé « que la liste des données à caractère personnel et des informations ainsi collectées (…) sont relatives à l’identification des agents, à leur situation familiale, à leur vie professionnelle, auxquelles s’ajoutent des éléments économiques et financiers ; que la collecte de ces catégories de données est nécessaire à la finalité légitime du traitement ; que la collecte et le traitement de données telles que le nom, le prénom, la date et le lieu de naissance, ainsi que le NIR [numéro d’inscription au répertoire] des membres de la famille des agents, nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille, sont proportionnés au regard des finalités du traitement»
    • Le Conseil relève, en revanche, que « l’administration ne fait état, dans ses écritures, d’aucune nécessité ou utilité quant au recueil des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents ; qu’en l’absence de toute justification sur ce point, la collecte de ces informations ne peut, en l’espèce, qu’être regardée comme excessive au regard des dispositions précitées du 3° de l’article 6 de la loi du 6 janvier 1978 ».
  • CE., 26 octobre 2011, Association pour la promotion de l’image et autres
    • Par requête enregistrée le 30 juin 2008 L’association pour la promotion de l’image a saisi le Conseil d’État aux fins d’annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d’enregistrement des données personnelles pour le nouveau passeport
    • La requérante contestait ce décret en ce qu’il autorisait, lors de l’établissement ou du renouvellement de passeports la collecte de huit empreintes digitales au lieu de deux prévues initialement par les dispositions européenne.
    • En l’espèce, le Conseil d’État a considéré que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n’en contient que deux, permettrait de réduire significativement les risques d’erreurs d’identification, cette assertion générale n’a été ni justifiée par une description précise des modalités d’utilisation du traitement dans les productions du ministre, ni explicitée lors de l’audience d’instruction à laquelle il a été procédé
    • Il estime, en outre, que « l’utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n’étant pas établie, la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé»

RGPD: le principe de finalité

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

La prohibiton de la collecte indirecte de données à caractère personnel

I) L’exigence de collecte directe

L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée

Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée.

Aussi, appartient-il au responsable du traitement d’informer la personne dont les données sont collectées de l’existence d’un traitement.

Dans un arrêt du 14 mars 2006, la Cour de cassation a qualifié de déloyal la collecte d’adresses électroniques, « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne »[1].

Dans une décision du n°2016-007 du 26 janvier 2016, la CNIL a encore considéré que la collecte de données relatives à la navigation d’internautes au moyen de cookies sans les en avertir constituait un manquement à la règle aux termes de laquelle les données à caractère personnel sont collectées et traitées de manière loyale et licite.

 Ainsi, pour qu’un traitement de données à caractère personnel soit loyal, la personne concernée doit être informée de l’existence du traitement.

II) La prohibition de la collecte indirecte

==> Notion

La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.

Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.

En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.

Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).

Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.

==> Droit antérieur

Il peut être observé que, avant l’entrée en vigueur de la loi du 6 août 2004 transposant la directive du 24 octobre 1995, cette obligation n’existait pas.

À cet égard, dans un arrêt du 25 octobre 1995, la Cour de cassation avait explicitement considéré que « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée »[2].

==> Droit positif

  • Principe
    • La loi du 6 août 2004 a pris le contre-pied de la Cour de cassation en posant à l’article 32 de la loi informatique et libertés que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données»
    • Ainsi, le principe est désormais la prohibition de la collecte de données à caractère personnel, sauf à en informer la personne concernée.
  • Exceptions
    • La prohibition de la collecte indirecte de données a été assortie par le législateur de 5 exceptions énoncées aux articles 26, 27 et 32, III de la loi informatique et libertés :
      • Première exception (art. 32 LIL)
        • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
        • Ainsi, dès lors qu’il s’agit d’exploiter les données collectées à des fins historiques, statistiques ou scientifiques, il n’est pas nécessaire d’en informer la personne concernée.
      • Seconde exception (art. 32 LIL)
        • Il est encore fait exception à la prohibition de la collecte indirecte de données lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
        • Dans l’hypothèse où l’information de la personne dont les données sont collectées est matériellement difficile à mettre en œuvre, voire impossible, alors l’auteur de la collecte indirecte s’en trouve dispensé.
      • Troisième exception (art. 26 LIL)
        • La collecte indirecte est autorisée lorsque les données recueillies indirectement sont utilisées au profit d’un traitement dit « de souveraineté » mis en œuvre pour l’Etat (intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté)
        • Reste que cette collecte est subordonnée à autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Quatrième exception (art. 26 LIL)
        • La collecte indirecte de données est encore autorisée lorsqu’elle a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
        • Là encore, l’autorisation est soumise à l’édiction d’un arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Cinquième exception (art. 27 LIL)
        • Il est prévu que la collecte indirecte de données est autorisée pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
        • L’autorisation ne peut résulter que d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Au bilan, sauf à s’inscrire dans l’une des exceptions prévues par le législateur, la collecte indirecte de données à caractère personnel est prohibée.

Dans un arrêt du 12 mars 2014, le Conseil d’État a considéré en ce sens que le responsable d’un traitement de données n’est pas exonéré de ses obligations « du fait du caractère indirect de la collecte des données »[3].

En l’espèce, la juridiction administrative relève que :

  • D’une part, les personnes dont les données à caractère personnel étaient extraites de réseaux sociaux pour être agrégées au service d’annuaire ” Pages Blanches ” n’étaient informées de leur droit d’opposition que si elles consultaient ce service
  • D’autre part, le droit d’opposition ne pouvait être exercé de manière effective et durable, eu égard à la complexité de la procédure et à la circonstance que les demandes imprécises ou incomplètes n’étaient pas traitées
  • Enfin, que l’exercice du droit de rectification n’était pas garanti, le responsable du traitement estimant qu’il en était exonéré du fait du caractère indirect de la collecte des données ; qu’ainsi, la formation restreinte de la CNIL, qui est légalement tenue de garantir

Le Conseil d’État en déduit que la collecte ainsi réalisée présentait un caractère déloyal.

[1] Cass. crim., 14 mars 2006, n° 05-83423

[2] Cass., ch. crim., 25 oct. 1995, n° 94-85781

[3] CE, 12 mars 2014, n° 353193, Sté Pages Jaunes

RGPD: les principes de loyauté et de licéité du traitement des données

==> Les textes

Aux termes de l’article 6, 1° de la loi informatique et libertés, « un traitement ne peut porter que sur des données à caractère personnel qui […] sont collectées et traitées de manière loyale et licite ».

Les principes de loyauté et de licéité sont également énoncés par la Charte européenne des droits fondamentaux en son article 8(2).

Le texte prévoit que les données à caractère personnel « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. »

Les principes directeurs de l’ONU prévoient encore que « les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies. »

Selon le RGPD, les principes de loyauté et de licéité répondent à un impératif de transparence.

À cet égard, le considérant 39 énonce que, « le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées ».

==> Distinction entre les principes de loyauté et de licéité

Il convient d’observer que le principe de loyauté se distingue du principe de licéité.

  • Un traitement de données peut parfaitement être licite, car autorisé par la loi, mais déloyale car ne répondant pas aux exigences de transparence dictées par le principe de loyauté
  • À l’inverse, un traitement peut être illicite, car prohibé par les textes, mais loyal car effectué en toute transparence pour la personne concernée

Tandis que le respect du principe de licéité s’apprécie au regard d’un seul critère, le respect de la règle de droit, l’observation du principe de loyauté est plus délicate à établir.

Il s’infère, en effet, du principe de loyauté plusieurs obligations pour le responsable du traitement :

  • Une obligation d’information
  • Une obligation de garantir l’exercice des droits d’accès et d’opposition
  • Une obligation de garantir la conservation limitée des données traitées
  • Une obligation de garantir la confidentialité et la sécurité des données traitées

I) Sur l’obligation d’information

A) Sur les modalités d’exécution de l’obligation d’information

Selon le RGPD, le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Autrement dit, il appartient au responsable du traitement de rendre facilement accessible les informations qu’il lui appartient de communiquer aux personnes dont les données à caractère personnel sont collectées.

Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur :

  • l’identité du responsable du traitement
  • les finalités du traitement
  • leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement.

B) Sur le contenu de l’obligation d’information

Le responsable du traitement est tenu de communiquer à la personne concernée un certain nombre d’informations.

  1. Informations relatives à la collecte de données à caractère personnel

a) L’exigence de collecte directe

L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée

Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée.

Aussi, appartient-il au responsable du traitement d’informer la personne dont les données sont collectées de l’existence d’un traitement.

Dans un arrêt du 14 mars 2006, la Cour de cassation a qualifié de déloyal la collecte d’adresses électroniques, « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne »[1].

Dans une décision du n°2016-007 du 26 janvier 2016, la CNIL a encore considéré que la collecte de données relatives à la navigation d’internautes au moyen de cookies sans les en avertir constituait un manquement à la règle aux termes de laquelle les données à caractère personnel sont collectées et traitées de manière loyale et licite.

 Ainsi, pour qu’un traitement de données à caractère personnel soit loyal, la personne concernée doit être informée de l’existence du traitement.

b) La prohibition de la collecte indirecte

==> Notion

La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.

Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.

En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.

Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).

Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.

==> Droit antérieur

Il peut être observé que, avant l’entrée en vigueur de la loi du 6 août 2004 transposant la directive du 24 octobre 1995, cette obligation n’existait pas.

À cet égard, dans un arrêt du 25 octobre 1995, la Cour de cassation avait explicitement considéré que « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée »[2].

==> Droit positif

  • Principe
    • La loi du 6 août 2004 a pris le contre-pied de la Cour de cassation en posant à l’article 32 de la loi informatique et libertés que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données»
    • Ainsi, le principe est désormais la prohibition de la collecte de données à caractère personnel, sauf à en informer la personne concernée.
  • Exceptions
    • La prohibition de la collecte indirecte de données a été assortie par le législateur de 5 exceptions énoncées aux articles 26, 27 et 32, III de la loi informatique et libertés :
      • Première exception (art. 32 LIL)
        • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
        • Ainsi, dès lors qu’il s’agit d’exploiter les données collectées à des fins historiques, statistiques ou scientifiques, il n’est pas nécessaire d’en informer la personne concernée.
      • Seconde exception (art. 32 LIL)
        • Il est encore fait exception à la prohibition de la collecte indirecte de données lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
        • Dans l’hypothèse où l’information de la personne dont les données sont collectées est matériellement difficile à mettre en œuvre, voire impossible, alors l’auteur de la collecte indirecte s’en trouve dispensé.
      • Troisième exception (art. 26 LIL)
        • La collecte indirecte est autorisée lorsque les données recueillies indirectement sont utilisées au profit d’un traitement dit « de souveraineté » mis en œuvre pour l’Etat (intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté)
        • Reste que cette collecte est subordonnée à autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Quatrième exception (art. 26 LIL)
        • La collecte indirecte de données est encore autorisée lorsqu’elle a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
        • Là encore, l’autorisation est soumise à l’édiction d’un arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Cinquième exception (art. 27 LIL)
        • Il est prévu que la collecte indirecte de données est autorisée pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
        • L’autorisation ne peut résulter que d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Au bilan, sauf à s’inscrire dans l’une des exceptions prévues par le législateur, la collecte indirecte de données à caractère personnel est prohibée.

Dans un arrêt du 12 mars 2014, le Conseil d’État a considéré en ce sens que le responsable d’un traitement de données n’est pas exonéré de ses obligations « du fait du caractère indirect de la collecte des données »[3].

En l’espèce, la juridiction administrative relève que :

  • D’une part, les personnes dont les données à caractère personnel étaient extraites de réseaux sociaux pour être agrégées au service d’annuaire ” Pages Blanches ” n’étaient informées de leur droit d’opposition que si elles consultaient ce service
  • D’autre part, le droit d’opposition ne pouvait être exercé de manière effective et durable, eu égard à la complexité de la procédure et à la circonstance que les demandes imprécises ou incomplètes n’étaient pas traitées
  • Enfin, que l’exercice du droit de rectification n’était pas garanti, le responsable du traitement estimant qu’il en était exonéré du fait du caractère indirect de la collecte des données ; qu’ainsi, la formation restreinte de la CNIL, qui est légalement tenue de garantir

Le Conseil d’État en déduit que la collecte ainsi réalisée présentait un caractère déloyal.

2. Informations relatives aux droits de la personne concernée

L’information de la personne dont les données sont collectées de l’existence d’un traitement ne suffit pas, elle doit être complétée par la fourniture d’informations relatives aux droits qui lui sont conférés par la loi informatique et libertés.

Plus précisément, l’information doit porter sur 3 éléments :

  • Les risques, règles, garanties et droits liés au traitement des données à caractère personnel
  • Les modalités d’exercice de leurs droits en ce qui concerne le traitement dont les personnes concernées font l’objet
  • Les finalités spécifiques du traitement qui doit être explicite et légitime et déterminée lors de la collecte des données à caractère personnel

II) Une obligation de garantir la conservation limitée des données traitées

==> La conservation des données

Selon le considérant 39 du RGPD, le respect du principe de loyauté exige que le responsable du traitement garantisse la durée de conservation des données soit limitée au strict minimum.

Aussi, afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.

Par ailleurs, la garantie tenant à la conservation des données suppose qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

Dans sa décision du 11 octobre 2005, la CNIL a eu l’occasion d’affirmer que « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessive »[4].

À cet égard, le droit à l’oubli a été consacré par le RGPD qui prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

==> La durée de conservation

La durée de conservation doit être établie en fonction de la finalité de chaque traitement.

Le responsable de traitement la fixe de façon “raisonnable” en fonction de l’objectif du traitement.

La détermination de la durée de conservation doit s’appuyer sur le critère « une donnée vivante est une donnée dont on a régulièrement besoin ». Cette durée correspond à la durée de vie des archives courantes.

Au-delà, les données peuvent être faire l’objet d’archives intermédiaires, voire d’archives définitives.

III) Sur l’obligation de garantir la confidentialité et la sécurité des données traitées

Autre obligation qui participe du respect du principe de loyauté, celle qui commande au responsable du traitement d’assurer la confidentialité et la sécurité des données traitées.

Autrement dit, les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Le niveau de sécurité attendu est fixé par l’article 32 du RGPD.

Cette disposition prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • La pseudonymisation et le chiffrement des données à caractère personnel;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De son côté, l’article 34 de la loi informatique et libertés dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Afin de garantir un niveau de sécurité satisfaisant, le chiffrement des données est fortement encouragé par la CNIL.

Dans son rapport annuel de 2017, elle a ainsi souligné que « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017, a, pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

[1] Cass. crim., 14 mars 2006, n° 05-83423

[2] Cass., ch. crim., 25 oct. 1995, n° 94-85781

[3] CE, 12 mars 2014, n° 353193, Sté Pages Jaunes

[4] Délibération n°2005-213 du 11 octobre 2005

La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

La notion de destinataire du traitement

L’article 3 de la loi informatique et libertés prévoit que « le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. »

De son côté, le RGPD définit, en son article 4, le destinataire du traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. »

L’identification du destinataire du traitement permet de déterminer quelles sont les personnes qui disposent du droit d’accéder aux informations collectées et traitées.

Par exception, la loi informatique et libertés prévoit que « les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires ».