Principe indemnitaire. Le contrat d’assurance a pour objet de garantir à l’assuré, en cas de réalisation du risque couvert, la compensation économique du dommage éprouvé. En toute hypothèse, le principe indemnitaire interdit à l’assureur de servir une prestation qui dépasserait le montant de la valeur de la chose assuré au moment du sinistre (C. assur., art. L. 121-1, al. 1er). Le bénéficiaire de l’assurance ne saurait être replacé dans une situation meilleure que celle qui aurait été la sienne si le sinistre ne s’était pas produit. Le texte est d’ordre public. Autrement dit, la valeur assurée ne peut en aucun cas être supérieur à la valeur assurable. Aucune clause de la police ne peut y faire obstacle. Une solution inverse inciterait l’assuré à l’imprudence, voire le conduirait à provoquer le dommage. L’article L. 121-1 C. assur. prohibe l’assurance-risque et la spéculation (voy. l’article : “L’intérêt d’assurance : Notion et fonctions”). Au vrai, la pratique des franchises et des plafonds atteste que l’assureur accepte rarement de couvrir la valeur totale du préjudice souffert. Quant à l’assuré, qui est libre – sauf cas d’assurance obligatoire – de souscrire un contrat d’assurance, il est en droit de ne faire garantir par l’assureur qu’un capital inférieur au montant du dommage susceptible de le frapper. Il est alors en situation dite de sous-assurance (terme issu de la pratique).

Excès d’assurance. Si la valeur assurée se révélait supérieure à la valeur assurable, l’assurance serait dite excessive. Dans le langage courant des assurances, on parle de surassurance (terme générique).

L’excès d’assurance peut résulter de la souscription d’un unique contrat pour une somme supérieure à la valeur du sinistre possible. C’est ce que l’on appelle, la surassurance simple (v. article « Assurance de dommages : la surassurance simple). Il peut également être provoqué par la souscription au profit d’un même assuré de plusieurs contrats garantissant le même risque. C’est ce que l’on appelle les assurances cumulatives.

Cumul d’assurances. Il y a cumul d’assurances, au sens de l’article L. 121-4, al. 1er, C. assur., dès lors qu’une personne est assurée « auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque ».

Un pareil cumul résulte, dans la plupart des cas (sauf le cas de figure de l’assuré qui souscrit une assurance pour le même objet auprès de plusieurs assureurs qui garantissent chacun une fraction de la valeur dudit objet) d’un excès d’assurance susceptible de porter atteinte au principe indemnitaire pour peu que le souscripteur entende tirer profit simultanément de l’ensemble des contrats conclus. Obtenant plusieurs indemnisations à l’occasion de la survenance d’un dommage unique, l’intéressé serait injustement enrichi.

Division. Les critères du cumul d’assurances (1). Le régime du cumul d’assurances (2)

1.- Les critères du cumul d’assurances

Pluralité de polices et d’assureurs. L’article L. 121-4 C. assur. pose la condition d’une multiplicité de polices. On ne saurait parler de cumul sans que plusieurs assurances n’aient été souscrites. La loi conditionne également la nullité de la garantie à la multiplicité des assureurs. Pour cause : si les polices, dont les garanties se recoupent, sont stipulées auprès d’un seul assureur, le risque de cumul est des plus hypothétiques. Avisé de l’ensemble des garanties souscrites, l’assureur refusera de les faire jouer au-delà du montant des dommages effectivement soufferts par l’assuré. La situation est comparable à celle qui résulte d’une assurance simple. En l’occurrence, c’est bien plutôt l’article L. 121-3 C. assur. qui doit recevoir application (régime de la surassurance).

Excès d’assurance. L’article L. 121-4 C. assur. n’envisage pas expressément l’excès d’assurance au nombre des critères de l’assurance cumulative. Pourtant, il va sans dire que le régime du cumul est subordonné à cette condition. La somme des indemnités que chacun des assureurs est susceptible de verser doit excéder le montant du dommage possible. Pour mémoire, la réglementation du cumul entend empêcher la violation du principe indemnitaire (v. supra).

L’excès d’assurance permet de distinguer les assurances cumulatives d’autres formes d’assurances multiples. Ainsi, lorsque plusieurs assureurs couvrent ensemble un même risque, ce que l’on appelle la coassurance, chacun garantit une fraction déterminée du sinistre. Intégralement indemnisé, mais sans enrichissement indu ; le principe indemnitaire est sauf. Il en va de même en cas d’assurances dites par lignes, dans lesquelles chacun des assureurs prend en charge un même risque mais ne couvre qu’une tranche déterminée du dommage. Le premier assureur couvre la 1ère tranche du sinistre jusqu’à un certain montant, et le second n’intervient qu’à la condition que le coût du sinistre dépasse le plafond fixé par le 1er contrat.

Simultanéité des garanties. L’excès d’assurances suppose nécessairement l’existence d’un cumul d’assurances. Si l’un des contrats est suspendu (C. assur., art. L. 113-3, al. 2) ou résilié (C. assur., art. L. 113-3, al. 3), le risque d’enrichissement de l’assuré est forcément exclu. Il ne saurait y avoir d’atteinte portée au principe indemnitaire.

Identité de risque. Le cumul d’assurances suppose que les différentes assurances en présence aient pour objet la couverture d’un même risque. C’est l’exemple du chef de famille qui souscrit auprès de plusieurs assureurs, par des contrats distincts, une garantie responsabilité civile pour les dommages causés par ses enfants dans le cadre d’activités de loisir (v. C. assur., art. L. 121-2). Bien souvent, ce risque est garanti par au moins trois contrats souscrits auprès d’assureurs différents : assurance multirisques habitation ou vie privée, assurance scolaire et extrascolaire, assurance de l’activité sportive ou de loisirs concernée. C’est encore l’exemple de l’assurance de responsabilité civile individuelle souscrite par un chasseur et l’assurance de responsabilité civile souscrite par une société de chasse au profit de ses membres.

À noter qu’en l’absence d’identité de risque, les assurances ne sont pas cumulatives, mais alternatives.

Identité d’intérêt. L’identité d’intérêt est une condition expresse d’existence du cumul d’assurances. Dispose d’un tel intérêt, la personne dont le patrimoine est susceptible d’être atteint par la réalisation du risque garanti et qui est susceptible de recueillir l’indemnité due par l’assureur en cas de sinistre.

Identité de souscripteur. L’identité de souscripteur est une condition distincte et autonome de l’identité d’intérêt. Dans sa rédaction antérieure à la loi du 13 juillet 1982, l’article L. 121-4 C. assur. visait « celui qui s’assure », non pas celui qui est assuré. En droit québécois, l’article 2496 C.civ. dispose que « celui qui, sans fraude, est assuré auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque, de telle sorte que le calcul des indemnités qui résulterait de leur exécution indépendante dépasse le montant du préjudice subi, peut se faire indemniser par le ou les assureurs de son choix n’étant tenu que pour le montant auquel il s’est engagé ». Interprété à la lettre, le texte faisait de l’identité du souscripteur une condition d’existence du cumul. La jurisprudence retenait cependant le cumul d’une assurance pour compte et d’une assurance de chose prises contre un même risque et dans l’intérêt d’un unique assuré par deux souscripteurs différents (v. par ex. les comm. sous c.assur. Litec, art. L. 121-3). L’exemple type est celui du transporteur de marchandises qui souscrit, en sus de sa propre assurance de responsabilité, une assurance de biens pour le compte du propriétaire de marchandises, lequel a bien souvent souscrit une assurance pour garantir la perte éventuelle de ses marchandises. Dans sa rédaction actuelle, l’article précité mentionne « celui qui est assuré auprès de plusieurs assureurs ». Par ce changement de formulation, le législateur entendait viser les assurances pour compte et prendre acte de la jurisprudence développée sous l’empire de l’ancien texte. Pourtant, la Cour de cassation affirme depuis lors que les dispositions de l’article L. 121-4 c.assur. ne sont applicables que si un même souscripteur a souscrit auprès de plusieurs assureurs des contrats d’assurance pour un même intérêt et contre un même risque (Cass. 1ère civ., 21 nov. 2000, Bull. civ. I, n° 292, Resp. civ. et assur. 2001, comm. 63 et note 5, H. Groutel – 29 oct. 2002, Bull. civ. I, n° 242, Resp. civ. et assur. 2003, comm.. 57, note H. Groutel – 17 févr. 2005, Resp. civ. et assur. 2005, comm.. 171, note H. Groutel). Exit toute possibilité de cumul entre assurance pour compte et assurance de chose. De ce point de vue, on peut légitimement regretter le risque d’enrichissement du propriétaire encouru, du reste, en raison d’une interprétation extra legem (voire contra legem) de l’article L. 121-4 C. assur. (« celui qui est assuré auprès de plusieurs assureurs (…) »).

2.- Le régime du cumul d’assurances

Obligation de déclaration. L’article L. 121-4, al. 1er, c.assur. oblige l’assuré en situation de cumul d’assurances à « donner immédiatement à chaque assureur connaissance des autres assureurs ». L’assuré doit donc déclarer ses assurances cumulatives multiples, et ce dès la souscription du second contrat, qui fait naître le cumul ou bien dès que le tiers assuré aura pris connaissance de l’existence d’une deuxième assurance souscrite à son profit. Une pareille déclaration a pour objet de prévenir toute atteinte au principe indemnitaire. À certains égards, il va de l’intérêt de l’assuré qui se dispensera du paiement d’une prime excessive (faculté de demander au surplus une réduction proportionnelle des assurances). La loi et les tribunaux n’imposent aucune forme particulière. L’article L. 121-4, al. 2, C.assur. se contente, dans une formule lapidaire, d’exiger que l’assuré, lors de cette communication, fasse connaître le nom de l’assureur avec lequel une autre assurance a été contractée et qu’il indique la somme assurée. Pour des raisons évidentes de preuve, ladite communication doit être adressée par lettre recommandée avec demande d’avis de réception.

En pratique, l’efficacité de cette obligation de déclaration est douteuse : l’omission est fréquente. Tantôt, les assurés ignorent être bénéficiaires d’assurances cumulatives, tantôt les assurés ignorent l’existence de cette obligation. Du reste, l’omission n’est pas sanctionnée. L’assuré n’est pas constitué en faute ; la loi n’édicte à son encontre aucune présomption de mauvaise foi. Mais, en toutes hypothèses, les assurances cumulatives frauduleuses seront sanctionnées.

Assurances cumulatives frauduleuses. Quand plusieurs assurances contre un même risque sont contractées de manière dolosive ou frauduleuse, la nullité est encourue (c.assur., art. L. 121-4, al. 3). En outre, des dommages et intérêts peuvent être réclamés (c.assur., art. L. 121-3, al. 1, in fine).

La fraude consiste pour l’assuré à souscrire plusieurs contrats d’assurance avec l’intention, en cas de réalisation du risque garanti, de percevoir une pluralité d’indemnités. Conformément au droit de la preuve, il appartient à l’assureur de rapporter les faits nécessaires au succès de sa prétention (C. proc. civ., art. 9). Autrement dit, l’assureur doit prouver la mauvaise foi de l’assuré ; la chose est peu aisée. On sait pourtant combien « la preuve est la rançon des droits ». L’absence de déclaration de cumul ne constitue pas ipso facto l’assuré en faute. En pratique, la fraude apparaîtra à l’occasion de la réalisation du risque, lorsque l’assuré, ayant déclaré le sinistre à plusieurs assureurs, tentera de percevoir des indemnités dont le montant cumulé dépasse la valeur du dommage subi.

Conformément au droit commun, le domaine de la nullité est circonscrit. L’article L. 121-4 c.assur. suppose une fraude commise au moment de la conclusion du contrat. La preuve est diabolique : il est fréquent que les éléments de preuve dont dispose l’assureur établissent l’intention malhonnête de l’assuré une fois seulement le sinistre réalisé, et non au jour de la souscription des polices. Du reste, il est possible que l’intention frauduleuse ne naisse dans l’esprit de l’assuré qu’au jour de la réalisation du sinistre, lequel succombe à la tentation de percevoir une indemnité double voire triple, alors qu’il avait souscrit les différents contrats en toute bonne foi. Un dicton : l’occasion fait le larron ! Dans cette hypothèse, c’est la déchéance pour exagération frauduleuse des conséquences du sinistre qu’il convient de faire jouer et non pas la sanction de l’article L. 121-4 c.assur. La déchéance n’étant toutefois pas, à proprement parler, une sanction légale mais conventionnelle, une clause spéciale de la police d’assurance doit encore l’avoir prévue (c.assur., art. L. 112-4).

La sanction de la fraude est la nullité de l’ensemble des assurances cumulatives frauduleusement contractées (c.assur., art. L. 121-4, al. 3). On aura garde de noter que contre la lettre de la loi (c.assur., art. L. 112-4), la jurisprudence décide qu’il est indifférent que la police n’ait pas prévu cette sanction (Cass. 1ère civ., 9 nov. 1981, D. 1983, p. 303, note Cl. Berr et H. Groutel). La sanction est lourde : l’assuré est privé de toute garantie. Le cas échéant, il doit restituer les indemnités perçues à l’occasion d’un précédent sinistre. Le droit à des dommages et intérêts fonde l’assureur à conserver les indemnités perçues en vertu du contrat annulé.

Assurances cumulatives non frauduleuses (ou faute de preuve de l’intention dolosive). Les assurances cumulatives, dont le caractère frauduleux n’est pas avéré, sont valables (c.assur., art. L. 121-4, al. 4). « Le bénéficiaire du contrat peut obtenir l’indemnisation de ses dommages en s’adressant à l’assureur de son choix ». La loi dispose que l’assuré, qui donne avis à l’assureur d’un sinistre de nature à entraîner la garantie de son assureur ( c.assur., art. L. 113-2, 4°), oblige ce dernier à la dette d’indemnité. Autrement dit, l’assureur ne peut pas refuser de payer en opposant à son assuré l’existence des autres contrats. Toute clause, qui subordonnerait la mise en œuvre du contrat qui la contient à l’absence, l’insuffisance ou la défaillance d’une autre assurance, est prohibée (Cass. 1ère civ. 16 juin 1987, Bull. civ. I, n° 193). L’assuré n’est plus obligé de diviser ses poursuites (ce qui était le cas avant la loi du 13 juill. 1982) et d’assigner l’ensemble des assureurs pour obtenir l’indemnisation totale à laquelle il a droit. Par ailleurs, il ne s’agirait pas que l’assuré espérât s’enrichir. Si le cumul ne doit pas lui nuire, il ne doit pas non plus lui profiter. La loi dispose que l’indemnité due par l’assureur à l’assuré ne doit excéder le montant de la garantie promise ni ne doit dépasser le montant de la valeur de la chose assurée au moment du sinistre (C. assur., art. L. 121-1, al. 1 sur renvoi art. L. 121-4, al. 4). En pratique, l’assuré de bonne foi réclame une indemnisation à celui des assureurs qui lui offre la garantie la plus complète. S’il s’avérait que la garantie était insuffisante, il lui serait loisible de se tourner vers un autre assureur de son choix aux fins d’indemnisation complémentaire, dans la limite bien entendu de la valeur déclarée de la chose. Une fois les prestations indemnitaires servies, l’assureur solvens peut se prévaloir de l’existence des autres polices pour ne pas souffrir seul la charge finale de l’indemnisation (c.assur., art. L. 121-4, al. 5). Les recours en contribution étant relativement coûteux, il existe des conventions entre assureurs qui les écartent.

(1)

Lorsque le créancier aura obtenu l’autorisation du Juge ou qu’il sera muni de l’un des titres visés à l’article L. 511-2 du CPCE, il pourra mandater un huissier de justice aux fins de faire pratiquer une mesure conservatoire sur le patrimoine de son débiteur.

Reste que pour que la mesure conservatoire soit efficace, un certain nombre de diligences doivent être accomplies par l’huissier instrumentaire, faute de quoi la mesure sera frappée de caducité.

I) Les phases de mise en œuvre des mesures conservatoires

En substance, la mise en œuvre d’une mesure conservatoire comporte quatre phases bien distinctes :

  • Première étape
    • L’huissier mandaté par le créancier doit procéder
      • Soit à la réalisation de l’acte de saisie
      • Soit à l’accomplissement des formalités d’inscription de la sûreté
  • Deuxième étape
    • La mesure conservatoire pratiquée par l’huissier de justice doit être dénoncée au débiteur si elle n’a pas été effectuée entre ses mains
  • Troisième étape
    • En l’absence de titre exécutoire, le créancier poursuivant devra engager une procédure aux fins d’en obtenir un
  • Quatrième étape
    • Lorsqu’un titre exécutoire aura été obtenu ou que la décision dont était en possession le créancier sera passée en force de chose jugée, la mesure conservatoire pratiquée pourra être convertie en mesure d’exécution forcée

II) Les délais de mise en œuvre des mesures conservatoires

Les quatre phases décrites ci-dessus sont enfermées dans des brefs délais, dont le non-respect est sanctionné par la caducité de la mesure conservatoire prise.

==> L’exécution de la mesure conservatoire dans un délai de trois mois

L’article R. 511-6 du CPCE prévoit que « l’autorisation du juge est caduque si la mesure conservatoire n’a pas été exécutée dans un délai de trois mois à compter de l’ordonnance. »

Ainsi, en cas d’inertie du créancier au-delà du délai de trois mois, l’ordonnance rendue par le Juge saisi est frappée de caducité.

Ce délai court à compter du prononcé de la décision du Juge et non de sa signification, laquelle n’a pas besoin d’intervenir dès lors que l’ordonnance est exécutoire sur minute.

À cet égard, l’article 640 du Code de procédure civile prévoit que « lorsqu’un acte ou une formalité doit être accompli avant l’expiration d’un délai, celui-ci a pour origine la date de l’acte, de l’événement, de la décision ou de la notification qui le fait courir. »

Il peut, par ailleurs, être observé que si la mesure conservatoire initiée en exécution de l’ordonnance est devenue caduque, ladite ordonnance ne peut, en aucun cas, servir de fondement pour pratiquer une nouvelle mesure conservatoire, quand bien même le délai de trois mois n’aurait pas expiré. (V. en ce sens CA Paris, 22 oct. 1999).

S’agissant, enfin, du coût de la mesure, l’article L. 512-2 du CPCE prévoit que « les frais occasionnés par une mesure conservatoire sont à la charge du débiteur, sauf décision contraire du juge. »

==> La dénonciation de la mesure conservatoire pratiquée entre les mains d’un tiers dans un délai de huit jours

Lorsque la mesure conservatoire est pratiquée entre les mains d’un tiers, il échoit au créancier de dénoncer cette mesure dans un délai de huit jours au débiteur à qui l’acte constatant la mesure conservatoire et, le cas échéant, l’ordonnance, doivent être communiquées.

Lorsque, en revanche, la mesure est accomplie directement entre les mains du débiteur, cette dénonciation est inutile puisqu’elle vise à informer le débiteur, d’une part, sur le contenu de l’ordonnance et, d’autre part, sur la réalisation de la mesure.

En cas d’inobservation de ce délai de huit jours pour dénoncer la mesure conservatoire au débiteur, elle est frappée de caducité.

==> L’engagement d’une procédure ou l’accomplissement de formalités en vue de l’obtention d’un titre exécutoire dans le délai d’un mois

  • Principe général
    • L’article R. 511-7 du CPCE prévoit que si ce n’est dans le cas où la mesure conservatoire a été pratiquée avec un titre exécutoire, le créancier, dans le mois qui suit l’exécution de la mesure, à peine de caducité, introduit une procédure ou accomplit les formalités nécessaires à l’obtention d’un titre exécutoire.
    • Ainsi, si le créancier ne possède pas de titre exécutoire lors la réalisation de la mesure conservatoire, il lui appartient d’entreprendre toutes les démarches utiles aux fins d’en obtenir un.
    • La formule « accomplir les formalités nécessaires» vise le cas où un jugement a déjà été rendu mais n’a pas encore le caractère exécutoire.
    • Il suffira alors d’attendre l’écoulement du délai de la voie de recours suspensive et de solliciter un certificat de non-appel.
    • La formule vise encore toutes les procédures précontentieuses préalables, mais obligatoires, aux fins d’obtenir un titre exécutoire.
    • En tout état de cause, le créancier dispose, pour ce faire, d’un délai d’un mois.
    • La procédure sera réputée engagée, dès lors que l’acte introductif d’instance aura été signifié avant l’expiration de ce délai d’un mois
    • L’examen de la jurisprudence révèle qu’il est indifférent que la procédure engagée soit introduite au fond ou en référé
    • Dans un arrêt remarqué du 3 avril 2003, la Cour de cassation a encore considéré qu’en délivrant une assignation, même devant une juridiction incompétente, dans le délai d’un mois, le créancier satisfait à l’exigence de l’article R. 511-7 du CPCE ( 2e civ. 3 avr. 2003).
    • Cette incompétence ne constituera, en conséquence, pas un obstacle à la délivrance d’une nouvelle assignation au-delà du délai d’un mois, dès lors que l’action se poursuit et que le lien d’instance entre les parties n’a jamais été interrompu
  • L’ordonnance portant injonction de payer
    • L’article R. 511-7 du CPCE prévoit que « en cas de rejet d’une requête en injonction de payer présentée dans le délai imparti au précédent alinéa, le juge du fond peut encore être valablement saisi dans le mois qui suit l’ordonnance de rejet. »
    • Ainsi, le délai d’un mois est, en quelque sorte, prorogé par l’ordonnance de rejet, à la condition néanmoins qu’une instance au fond soit introduite consécutivement au rejet.
    • Dans un arrêt du 5 juillet 2005, la Cour de cassation a estimé qu’une assignation en référé ne permettait pas de proroger le délai d’un mois ( 2e civ. 5 juill. 2005).

==> La dénonciation des diligences accomplies en vue de l’obtention d’un titre exécutoire dans un délai de huit jours

L’article R. 511-8 du CPCE dispose que lorsque la mesure est pratiquée entre les mains d’un tiers, le créancier signifie à ce dernier une copie des actes attestant les diligences requises par l’article R. 511-7, dans un délai de huit jours à compter de leur date.

En cas d’inobservation de ce délai de huit jours pour dénoncer la mesure conservatoire au tiers entre les mains duquel la mesure est pratiquée, elle est frappée de caducité.

Dans un arrêt du 30 janvier 2002, la Cour de cassation a néanmoins estimé que l’article R. 511-8 n’avait pas lieu de s’appliquer lorsque les diligences requises ont été effectuées avant la réalisation de la mesure conservatoire (Cass. 2e civ. 30 janv. 2002).

Tel sera notamment le cas lorsque le créancier a fait signifier une décision qui n’est pas encore passée en force de chose jugée et qu’il n’a pas reçu le certificat de non-appel sollicité auprès du greffe de la Cour.

Dans l’hypothèse où il ferait pratiquer une mesure conservatoire, il ne disposerait alors d’aucun acte à dénoncer au tiers entre les mains duquel la mesure est réalisée.

Dans un arrêt du 15 janvier 2009, la Cour de cassation a néanmoins précisé que, en cas de concomitance, de la réalisation de la mesure conservatoire et de l’accomplissement de diligences en vue de l’obtention d’un titre exécutoire, ces dernières doivent être dénoncées au tiers dans le délai de 8 jours, conformément à l’article R. 511-8 du CPCE (Cass. 2e civ. 15 janv. 2009).

III) La conversion des mesures conservatoires

Lorsqu’un titre exécutoire constatant une créance certaine, liquide et exigible aura été obtenu par le créancier poursuivant, la mesure conservatoire pratique pourra faire l’objet d’une conversion.

Autrement dit, elle pourra être transformée :

  • Soit en mesure d’exécution forcée
  • Soit en sûreté définitive

Reste que le régime juridique de cette conversion est sensiblement différent selon que la mesure conservatoire initialement pratiquée consiste en une saisie conservatoire ou en l’inscription d’une sûreté judiciaire.

==> S’agissant des saisies conservatoires

Pour opérer la conversion d’une saisie conservatoire en saisie définitive, il n’est besoin, pour le créancier, que d’obtenir un titre exécutoire au sens de l’article L. 111-3 du CPCE.

Aussi, cette conversion peut-elle être pratiquée alors que la décision obtenue n’est pas passée en force de chose jugée. Elle devra, néanmoins, être assortie de l’exécution provisoire.

La conversation s’opérera alors au moyen de la signification d’un acte de conversion signifié au tiers saisi et dénoncé au débiteur.

Aucun délai n’est prescrit pour procéder à cette conversion une fois le titre exécutoire obtenu.

==> S’agissant des sûretés judiciaires

Pour convertir une sûreté judiciaire en sûreté définitive, l’article R. 533-4 du CPCE exige que le créancier obtienne une décision passée en force de chose jugée.

Ainsi, l’obtention d’un titre exécutoire au sens de l’article L. 111-3 du CPCE n’est pas suffisante. La décision obtenue doit ne plus être soumise à une voie de recours suspensif ni être assorti d’un délai de grâce.

Quant à la réalisation de la conversation, elle se fait au moyen d’une publicité définitive propre à chacune des sûretés susceptibles d’être constituée à titre conservatoire.

Les formalités doivent être accomplies auprès de l’organe qui a reçu la publicité provisoire.

Surtout, l’article R. 533-4 du CPCE prévoit que la publicité définitive est effectuée dans un délai de deux mois courant selon le cas :

  • Du jour où le titre constatant les droits du créancier est passé en force de chose jugée ;
  • Si la procédure a été mise en œuvre avec un titre exécutoire, du jour de l’expiration du délai d’un mois mentionné à l’article R. 532-6
    • Si une demande de mainlevée a été formée, du jour de la décision rejetant cette contestation
    • Si le titre n’était exécutoire qu’à titre provisoire, le délai court comme il est dit au 1° ;
  • Si le caractère exécutoire du titre est subordonné à une procédure d’exequatur, du jour où la décision qui l’accorde est passée en force de chose jugée.

(0)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

(0)

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.


(0)