RGPD: le droit d’opposition

Pour le législateur de 1978, le droit d’opposition constituait la contrepartie de la liberté de collecte des données à caractère personnel, sous réserve qu’elles soient recueillies de manière loyale.

Lors de l’adoption de la directive du 24 octobre 1995, il a été question de reconnaître à ce droit un caractère discrétionnaire, en ce sens que son exercice ne serait subordonné à la justification d’aucun motif légitime.

Le législateur européen n’a pas retenu cette approche du droit d’opposition. L’article 38 de la directive prévoyait, en effet, que le droit d’opposition ne pouvait pas être exercé :

  • Soit lorsque le traitement répondait à une exigence légale
  • Soit lorsque son application a été écartée par une disposition expresse de l’acte autorisant le traitement, ce dernier cas visant les traitements dits « de souveraineté», autorisés par un acte réglementaire, pris après avis de la CNIL, conformément aux dispositions des articles 26 et 27 nouveaux de la loi du 6 janvier 1978.

Dans le droit fil de la directive du 24 octobre 1995, le RGPD a encadré l’exercice du droit d’opposition qui demeure donc toujours assorti de limites.

I) Le contenu du droit d’opposition

L’article 21 du RGPD prévoit que la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant, y compris un profilage fondé sur ces dispositions.

Dans le même sens, l’article 38 de la LIL dispose que toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Il ressort de ces deux dispositions qu’il existe un vrai droit pour la personne concernée de s’opposer au traitement de ses données à caractère personnel.

Cette faculté qui lui est conférée n’est, cependant, pas sans limite, le droit d’opposition n’étant pas discrétionnaire.

II) Les conditions du droit d’opposition

==> Principe : un droit relatif

Tant le RGPD, que la loi informatique et libertés assortissent le droit d’opposition de limites.

Tandis que la LIL subordonne le droit d’opposition par la personne concernée à l’existence de « motifs légitimes », le RGPD exige que son exercice soit justifié par « des raisons tenant à sa situation particulière ».

De toute évidence, la notion de « situation particulière » et plus large que celle de « motifs légitimes ».

Les conditions d’exercice du droit d’opposition posées par le RGPD sont, de la sorte, moins restrictives.

S’agissant de la notion de « motifs légitimes », il n’est pas inintéressant de relever que dans un arrêt du 28 septembre 2004, la Cour de cassation avait considéré qu’en matière politique, philosophique ou religieuse, la condition de l’existence de motifs légitimes « est remplie par le seul exercice de la faculté, pour la personne concernée, de s’opposer au traitement de données » personnelles (Cass. crim., 28 sept. 2004, n° 03-86.604).

C’est donc une appréciation extrêmement large de la notion qui est faite par la Cour de cassation.

A la lumière de l’article 21 du RGPD, pour la CNIL, le refus de faire droit à la demande de la personne concernée peut tenir :

  • A l’existence de motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice ;
  • Au consentement qui a été préalablement donné de sorte qu’il appartient à la personne concernée de se rétracter et non de s’opposer au traitement
  • A l’existence d’une relation contractuelle avec le responsable du traitement
  • A l’existence d’une obligation légale qui impose au responsable du traitement de traiter les données visées
  • A la nécessité d’assurer la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
  • A l’existence d’un traitement nécessaire à l’exécution d’une mission d’intérêt public lorsque données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques

==> Exception : un droit discrétionnaire

L’article 21, 2 du RGPD prévoit que lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

Autrement dit, dès lors que le traitement de données est effectué dans le cadre d’une opération de prospection commerciale, la personne concernée n’a pas à justifier de « raisons tenant à sa situation particulière ».

Elle est irréfragablement présumée remplir cette condition, dès lors qu’elle fait l’objet d’une opération de prospection commerciale.

III) Les modalités d’exercice du droit d’opposition

  • Le destinataire de la demande
    • Le droit d’opposition doit être exercé auprès du responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée
  • Formalisme
    • Aucun formalisme n’est exigé quant à l’exercice du droit d’opposition (V. en ce sens crim., 28 sept. 2004, n° 03-86.604)
    • A cet égard, l’article 21 du RGPD prévoit que dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
    • Autrement dit, le droit d’opposition peut valablement être exercé par voie électronique.
    • Dans une délibération n° 2016-264 du 21 juillet 2016, la CNIL a considéré en ce sens que dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit pouvoir s’exprimer par un moyen simple et spécifique, tel qu’une case à cocher.
  • Le coût de la demande
    • L’exercice du droit d’opposition est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.

IV) L’exécution du droit d’opposition

==> L’obligation d’information

L’article 21, 4 du RGPD prévoit qu’il appartient au responsable du traitement, au plus tard au moment de la première communication avec la personne concernée, de l’informer de l’existence de son droit d’opposition.

Cette information doit être explicitement portée à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

==> Le délai d’exécution

L’article 21 du RGPD prévoit que lorsque la personne concernée s’oppose au traitement, les données à caractère personnel ne doivent plus être traitées.

L’article 12 précise que le responsable du traitement dispose en tout état de cause d’un délai d’un mois à compter de la réception de la demande.

Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.

En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

V) Cas particulier du profilage

==> Définition

Le profilage est défini à l’article 4 du RGPD comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Il s’agit, autrement dit, de dresser un profil individualisé de la personne concernée aux fins de lui appliquer une décision fondée sur un traitement automatisé.

La CNIL précise qu’une décision est automatisé lorsqu’elle est prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

Les décisions automatisées peuvent intervenir dans de nombreux domaines d’activité (finance, fiscalité, marketing, etc.) et produire des effets juridiques ou des effets significatifs pour les personnes concernées.

Par exemple, une décision de refus de crédit peut avoir pour seul fondement l’utilisation d’un algorithme qui applique automatiquement certains critères à la situation financière du demandeur, sans aucune intervention humaine.

Compte tenu du danger que représente le profilage pour les droits et libertés des personnes, le législateur européen est intervenu aux d’encadrer strictement cette pratique.

==> Principe

L’article 22 du RGPD prévoit que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Par principe, il est donc interdit de prendre une décision entièrement automatisée à l’endroit de personnes, dès lors que cette décision :

  • Soit produit des effets juridiques les concernant
  • Soit les affecte de manière significative de façon similaire

==> Exceptions

Le principe d’interdiction du profilage ne s’applique pas lorsque la décision :

  • Soit est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • Soit est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
  • Soit est fondée sur le consentement explicite de la personne concernée.

L’article 22, §3 précise que pour la 1ère et la 3e exception, il appartient au responsable du traitement de mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

Le considérant 71 précise que, afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement doit :

  • Utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage
  • Appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d’erreur soit réduit au minimum
  • Sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée
  • Prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur la l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet.

En tout état de cause, la prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne doivent être autorisés que dans des conditions spécifiques.

==> Exception à l’exception

Les exceptions prévues par l’article 22 ne s’appliquent pas lorsque le traitement porte sur des données sensibles à moins que :

  • Soit la personne concernée ait explicitement donné son consentement
  • Soit le traitement est nécessaire pour des motifs d’intérêt public

RGPD: les exceptions au principe du consentement

Si le consentement joue un rôle important dans la mise en œuvre d’un traitement de données à caractère personnel, cela n’exclut pas la possibilité que, compte tenu du contexte, d’autres fondements juridiques puissent être jugés plus appropriés par le responsable du traitement ou la personne concernée.

Le RGPD et la LIL prévoient 5 autres fondements juridiques sur la base desquels un traitement de données à caractère personnel peut être mise en œuvre.

Au nombre de ces fondements juridiques figurent :

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Une distinction peut ainsi être établie entre le cas où le traitement des données à caractère personnel se fonde sur le consentement indubitable de la personne concernée et les cinq autres cas.

En résumé, ces derniers décrivent des scénarios où le traitement peut se révéler nécessaire dans un contexte spécifique, comme l’exécution d’un contrat conclu avec la personne concernée, le respect d’une obligation légale imposée au responsable du traitement, etc.

Dans l’hypothèse où le consentement de la personne est requis, ce sont les personnes concernées elles-mêmes qui autorisent le traitement de leurs données à caractère personnel.

Il leur appartient de décider si elles permettent que leurs données soient traitées. Le consentement n’élimine pas pour autant la nécessité de respecter les principes énoncés par la LIL.

De plus, le consentement doit encore remplir certaines conditions essentielles pour être légitime. Dès lors que le traitement des données de l’utilisateur est, en définitive, laissé à sa discrétion, tout dépend de la validité et de la portée du consentement de la personne concernée.

Autrement dit, le premier motif, mentionné à l’article 6 a) du RGPD (le consentement) a trait à l’autodétermination de la personne concernée comme fondement de la légitimité.

Tous les autres motifs, en revanche, autorisent le traitement – moyennant des garanties et des mesures définies – dans des situations où, indépendamment du consentement, il est approprié et nécessaire de traiter les données dans un certain contexte pour servir un intérêt légitime spécifique.

En toute hypothèse, c’est au responsable du traitement des données qu’il revient initialement d’apprécier si les critères énoncés à l’article 7, points a) à f), sont remplis, sous réserve du respect du droit applicable et des orientations relatives à la façon dont ce droit doit être appliqué.

Ensuite, la légitimité du traitement peut faire l’objet d’une autre évaluation, et éventuellement être contestée, par les personnes concernées, par d’autres parties prenantes, par les autorités chargées de la protection des données, et en définitive la question peut être tranchée par les tribunaux.

I) Le respect d’une obligation légale

Ce fondement juridique renvoie à l’hypothèse où le traitement de données à caractère personnel est imposé au responsable du traitement par une obligation légale.

Il pourrait, par exemple, s’agir d’un texte qui impose aux employeurs de communiquer des données relatives aux rémunérations de leurs salariés à la sécurité sociale ou à l’administration fiscale, ou lorsque les institutions financières sont tenues de signaler certaines opérations suspectes aux autorités compétentes en vertu de règles visant à lutter contre le blanchiment d’argent. I

Pour que ce fondement juridique, puisse s’appliquer, l’obligation à laquelle est soumis le responsable du traitement doit satisfaire à un certain nombre de conditions :

  • Une obligation légale ou réglementaire
    • L’obligation sur le fondement de laquelle le traitement est mis en œuvre, doit être imposée par la loi ou par un texte réglementaire et non, par exemple, par une cause contractuelle.
    • A cet égard, le texte légal doit remplir toutes les conditions requises pour rendre l’obligation valable et contraignante, et doit aussi être conforme au droit applicable en matière de protection des données, notamment aux principes de nécessité, de proportionnalité et de limitation de la finalité.
  • Une obligation édictée par l’Union européenne ou un État membre
    • Il importe de souligner que l’obligation légale dont se prévaut le responsable du traitement doit se rapporter aux lois de l’Union européenne ou d’un État membre.
    • Les obligations imposées par les lois de pays tiers (comme, par exemple, l’obligation de mettre en place des mécanismes de dénonciation des dysfonctionnements, instaurée en 2002 par la loi Sarbanes-Oxley aux États-Unis) ne relèvent pas de ce motif.
  • Une obligation à laquelle le responsable du traitement ne peut pas déroger
    • Le responsable du traitement ne doit pas avoir le choix de se conformer ou non à l’obligation.
    • Les engagements volontaires unilatéraux et les partenariats public-privé qui supposent le traitement de données au-delà de ce qui est requis par la loi n’entrent donc pas dans le champ d’application de l’article 7, point 1° de la LIL.
    • Par exemple, si un fournisseur de services internet décide – sans y être contraint par une obligation légale claire et précise – de surveiller ses utilisateurs afin de lutter contre le téléchargement illégal, l’article 7, 1°, ne pourra pas être invoqué comme fondement juridique approprié à cet effet.
  • Une obligation suffisamment claire et précise
    • L’obligation légale elle-même doit être suffisamment claire à propos du traitement de données à caractère personnel qu’elle requiert.
    • En conséquence, l’article 7, point 1°, s’applique sur la base de dispositions juridiques mentionnant explicitement la nature et l’objet du traitement.
    • Le responsable du traitement ne doit pas avoir de marge d’appréciation injustifiée quant à la façon de se conformer à l’obligation légale.

II) La sauvegarde de la vie de la personne concernée

Pour que ce fondement juridique puisse servir de base à un traitement de données à caractère personnel, il est nécessaire que le responsable du traitement justifie de la nécessité de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique.

Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.

Selon le Groupe de l’article 29, l’expression « intérêt vital » semble limiter l’application de ce motif à des questions de vie ou de mort, ou, à tout le moins, à des menaces qui comportent un risque de blessure ou une autre atteinte à la santé de la personne concernée.

A cet égard, le considérant 31 de la Directive du 24 octobre 1995 confirme que l’objectif de ce fondement juridique est de « protéger un intérêt essentiel à la vie de la personne concernée ».

Ni la directive, ni le RGPD ne précise, néanmoins, si la menace doit être immédiate. Ce silence, n’est pas sans soulever des questions quant à la portée de la collecte de données, par exemple, à titre de mesure préventive ou à grande échelle, comme la collecte des données relatives aux passagers transportés par une compagnie aérienne en cas de risque d’épidémie ou d’incident de sûreté.

Le groupe de l’article 29 considère qu’il convient de donner une interprétation restrictive à cette disposition. Bien que l’article 7, 2° de la LIL, ne limite pas expressément l’utilisation de ce motif à des situations où le consentement ne peut servir de fondement juridique, il est raisonnable de supposer que, lorsqu’il est possible et nécessaire de demander un consentement valable, il y a effectivement lieu d’obtenir ce consentement chaque fois que les conditions le permettent.

Cette disposition voit ainsi son application limitée à une analyse au cas par cas et elle ne peut normalement servir à légitimer, ni la collecte massive de données à caractère personnel, ni leur traitement.

III) L’exécution d’une mission de service public

Lorsqu’une personne exécute une mission de service public, l’article 7, 3° de l’autorise à mettre en œuvre un traitement de données à caractère personnel, sans qu’il soit besoin qu’elle recueille, au préalable, le consentement de la personne concernée.

Encore faut-il que la mission confiée au responsable du traitement porte bien sur une mission de service public, ce qui implique qu’elle relève de l’exercice d’une autorité publique conférée en vertu d’un texte légal ou réglementaire.

Ce fondement juridique couvre deux situations :

  • Première situation
    • Il concerne des situations où le responsable du traitement est lui-même investi d’une autorité publique ou d’une mission d’intérêt public (sans nécessairement être lui aussi soumis à une obligation légale de traiter des données) et où le traitement est nécessaire à l’exercice de cette autorité ou de cette mission.
    • Par exemple, une administration fiscale peut collecter et traiter la déclaration de revenus d’une personne afin d’établir et de vérifier le montant de l’impôt à payer.
  • Seconde situation
    • Ce fondement juridique couvre aussi des situations où le responsable du traitement n’est pas investi d’une autorité publique, mais est invité à communiquer des données à un tiers investi d’une telle autorité.
    • Par exemple, un agent d’un service public compétent pour enquêter sur un crime peut demander au responsable du traitement sa coopération dans le cadre d’une enquête en cours, plutôt que de lui ordonner de se soumettre à une demande de coopération spécifique.

En toute hypothèse, pour être licite, il faut que le traitement soit « nécessaire à l’exécution d’une mission de service public », ou encore que le responsable du traitement ou le tiers auquel il communique les données soit investi d’une autorité publique et que le traitement des données soit nécessaire à l’exercice de cette autorité.

Si, toutefois, le traitement suppose une ingérence dans la vie privée ou si le droit national l’exige par ailleurs afin de garantir la protection des personnes concernées, la base juridique encadrant le genre de traitement de données qui peut être autorisé devra être suffisamment précise et spécifique.

L’article 7, 3°, a potentiellement un champ d’application très large, ce qui plaide en faveur d’une interprétation stricte et d’une définition précise, au cas par cas, de l’intérêt public en jeu et de l’autorité publique justifiant le traitement.

IV) L’exécution, d’un contrat ou de mesures précontractuelles

L’article 7, 4° prévoit que le consentement de la personne concernée n’est pas requis lorsque le traitement de données à caractère personnel procède de l’exécution :

  • Soit d’un contrat auquel la personne concernée est partie
  • Soit de mesures précontractuelles prises à la demande de celle-ci

==> Sur l’exécution d’un contrat

Le fondement juridique de l’article 7, 4° vise d’abord les situations dans lesquelles le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

Pour exemple :

  • Il couvre, par exemple, la collecte de données à caractère personnel dans le cadre des formulaires bancaires que doit remplir la personne demandant l’ouverture d’un compte.
  • Il peut encore s’agir du traitement de son adresse pour que des produits achetés en ligne puissent être livrés, ou du traitement des informations figurant sur une carte de crédit afin d’effectuer une transaction.
  • Dans le contexte des relations de travail, ce motif peut autoriser, par exemple, le traitement des informations relatives aux salaires et des coordonnées de comptes bancaires pour que les salariés puissent être payés.

Comme le relève le Groupe de l’article 29, ce fondement juridique doit être interprétée de façon restrictive et ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat, mais plutôt imposé unilatéralement à la personne concernée par le responsable du traitement.

Le fait qu’un certain traitement de données soit couvert par un contrat ne signifie pas non plus automatiquement que le traitement soit nécessaire à son exécution.

Par exemple, l’article 7, 4° de la LIL ne peut pas servir de fondement juridique pour établir un profil des goûts et du mode de vie de l’utilisateur à partir de son historique de navigation sur un site internet et des articles achetés.

En effet, le responsable du traitement des données n’a pas été chargé, dans le contrat, d’établir un profil mais de fournir des produits et des services, par exemple.

Même si ces activités de traitement sont expressément mentionnées en petits caractères dans le contrat, elles n’en deviennent pas pour autant « nécessaires » à l’exécution de ce dernier.

Il existe donc ici un lien évident entre l’appréciation de la nécessité et le respect du principe de limitation de la finalité.

Il importe de déterminer la raison d’être exacte du contrat, c’est-à-dire sa substance et son objectif fondamental, car c’est ce qui permettra de vérifier si le traitement des données est nécessaire à l’exécution du contrat.

==> Sur l’exécution de mesures précontractuelles

Le recueil du consentement préalable de la personne concernée n’est pas non plus requis en cas d’exécution de mesures précontractuelles, soit celles prises avant la conclusion du contrat.

Il peut donc s’appliquer aux relations précontractuelles, pour autant que les démarches soient accomplies à la demande de la personne concernée, plutôt qu’à l’initiative du responsable du traitement ou d’un tiers.

Par exemple, si une personne demande à un détaillant de lui faire une offre de prix pour un produit, le traitement de données effectué à cette fin, tel que la conservation, pour une durée limitée, de l’adresse et des informations à propos de ce qui est demandé, pourra s’appuyer sur ce fondement juridique.

De même, si quelqu’un demande un devis à un assureur pour sa voiture, l’assureur est en droit de traiter les données nécessaires, par exemple, la marque et l’âge de la voiture, ainsi que d’autres données pertinentes et proportionnées, afin d’établir le devis.

En revanche, des vérifications détaillées comme, par exemple, le traitement de données d’examens médicaux par une compagnie d’assurances avant de proposer une assurance maladie ou une assurance vie ne seraient pas considérées comme une étape nécessaire accomplie à la demande de la personne concernée.

Le traitement à des fins de prospection commerciale sur l’initiative du responsable du traitement ne pourra pas non plus s’appuyer sur ce motif.

V) La réalisation d’un intérêt légitime

Dernier fondement juridique susceptible de servir de base à la mise en œuvre d’un traitement de données à caractère personnel : la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Ce fondement juridique, d’une portée exceptionnellement générale, est issue de la directive du 24 octobre 1995.

Cette directive ne donnait toutefois aucun critère. Son considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements :

  • Les activités de gestion courante des entreprises et autres organismes
  • La prospection commerciale
  • La prospection par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique

La directive précisait que les traitements devaient, en tout état de cause, être mis en œuvre dans le respect des dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

Sans préciser ce que l’on doit entendre par la notion d’« intérêt légitime », le RGPD énonce, dans son considérant 47 que « les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement ».

Le texte ajoute que l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

Bien que le RGPD apporte des précisions sur le fondement de l’intérêt légitime, il ne définit pas la notion, de sorte qu’il y a lieu de se reporter à l’avis émis par le Groupe de l’article 29 en date du 9 avril 2014.

Selon ce Groupe, pour déterminer si un traitement de données à caractère personnel peut être mise en œuvre sur le fondement de l’intérêt légitime poursuivi par le responsable du traitement, il convient de procéder par étape

A) Première étape

Elle consiste à déterminer si l’intérêt poursuivi par le responsable du traitement est légitime.

Il convient, tout d’abord, de noter que la notion d’intérêt légitime doit être distinguée de la notion de finalité.

  • La finalité est la raison spécifique pour laquelle les données sont traitées : le but de leur traitement
  • L’intérêt, quant à lui, est l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que la société pourrait tirer – du traitement.

La question qui alors se pose est de savoir ce qui rend un intérêt légitime ou illégitime. Il s’agit, autrement dit, de déterminer le seuil de ce qui constitue un intérêt légitime.

Pour le Groupe de l’article 29, un intérêt peut être considéré comme légitime dès lors que le responsable du traitement est en mesure de poursuivre cet intérêt dans le respect de la législation sur la protection des données et d’autres législations.

Autrement dit, un intérêt légitime doit être « acceptable au regard du droit ».

Aussi, un « intérêt légitime » doit donc :

  • Être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné)
  • Être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis)
  • Constituer un intérêt réel et présent (c’est-à-dire non hypothétique)

Le fait que le responsable du traitement poursuive un tel intérêt légitime en traitant certaines données ne signifie pas qu’il puisse nécessairement invoquer l’article 7, 5°, comme fondement juridique justifiant le traitement.

La légitimité de l’intérêt poursuivi n’est qu’un point de départ. La possibilité d’invoquer ce fondement juridique dépend du résultat de la mise en balance entre l’intérêt du responsable du traitement avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

À titre d’illustration : des responsables du traitement peuvent avoir un intérêt légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres et, en fin de compte, de proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients.

Dans cette perspective, l’article 7, 5°, peut constituer un fondement juridique approprié pour certains types d’activités de prospection, en ligne ou hors ligne, pour autant qu’il existe des garanties appropriées, incluant, entre autres, un mécanisme fonctionnel permettant de s’opposer à ce traitement

Cela ne signifie pas pour autant que les responsables du traitement pourraient invoquer l’article 7, 5°, pour surveiller indûment les activités en ligne ou hors ligne de leurs clients, pour compiler d’importants volumes de données à leur propos en provenance de différentes sources, collectées à l’origine dans d’autres contextes et à des fins différentes, et pour créer des profils complexes concernant la personnalité et les préférences des clients, sans les en informer, ni mettre à leur disposition un mécanisme fonctionnel permettant d’exprimer leur opposition, pour ne rien dire de leur consentement éclairé.

Une telle activité de profilage risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable du traitement.

B) Deuxième étape

Il s’agit ici de déterminer si le traitement de données à caractère personnel que le responsable envisage de mettre en œuvre est nécessaire à la réalisation de l’intérêt poursuivi.

Cette exigence a notamment été rappelée par la CJUE dans un arrêt du 13 mai 2014 aux termes duquel elle a considéré que l’article 7 de la directive du 24 octobre 1995 (devenu l’article 6 du RGPD), « permet le traitement de données à caractère personnel lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les droits fondamentaux de la personne concernée, notamment son droit au respect de sa vie privée à l’égard du traitement des données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12).

Lorsque, dès lors, le traitement n’est pas absolument nécessaire à la poursuite de l’intérêt légitime du responsable, le fondement de l’article 6 du RGPD n’est pas applicable.

C) Troisième étape

A supposer que le traitement de données à caractère personnel soit nécessaire à la réalisation de l’intérêt légitime du responsable, encore faut-il, pour être licite, que cet intérêt ne porte pas atteinte à l’intérêt et aux droits et libertés fondamentaux de la personne concernée. Aussi, cela implique-t-il d’opérer une mise en balance.

A cet égard, comme le souligne le Groupe de l’article 29, il importe de relever qu’à la différence de l’«intérêt» du responsable du traitement, l’«intérêt» des personnes concernées n’est pas suivi ici de l’adjectif «légitime».

Cela suppose que la protection de l’intérêt et des droits des individus a une portée plus vaste. Même les personnes qui se livrent à des activités illégales ne devraient pas faire l’objet d’une ingérence disproportionnée dans l’exercice de leurs droits et de leurs intérêts.

Par exemple, un individu qui peut avoir commis un vol dans un supermarché pourrait encore voir son intérêt prévaloir contre la publication par le propriétaire du magasin de sa photo et de son adresse privée sur les murs du supermarché ou et/ou sur l’internet.

En toute hypothèse, il apparaît que l’intérêt légitime poursuivi par le responsable du traitement et les incidences sur l’intérêt et les droits de la personne concernée se présentent sous la forme d’un spectre.

L’intérêt légitime peut être, selon les cas, minime, relativement important ou impérieux.

De même, les incidences sur l’intérêt et les droits des personnes concernées peuvent présenter plus ou moins de gravité et peuvent être anodines ou très préoccupantes.

  • L’intérêt légitime poursuivi par le responsable du traitement, quand il est peu important, ne prévaudra généralement sur l’intérêt et les droits des personnes concernées que dans les cas où les incidences sont encore plus insignifiantes.
  • D’un autre côté, un intérêt légitime impérieux peut justifier, dans certains cas et sous réserve de garanties et de mesures adéquates, une ingérence même grave dans la vie privée ou d’autres conséquences importantes pour l’intérêt ou les droits des personnes concernées.

Il importe ici de souligner le rôle essentiel que les garanties peuvent jouer pour réduire les incidences injustifiées sur les personnes concernées et, partant, modifier l’équilibre des droits et des intérêts, au point que ceux de ces personnes ne prévalent plus sur l’intérêt légitime poursuivi par le responsable du traitement des données.

Le recours à des garanties ne suffit bien sûr pas à justifier, à lui seul, n’importe quel traitement dans toutes les situations envisageables.

Il faut en outre que les garanties en question soient adéquates et suffisantes, et qu’elles réduisent indubitablement et sensiblement les incidences sur les personnes concernées.

La mise en balance des intérêts en présence suppose de confronter les deux plateaux de la balance :

==> Sur le premier plateau de la balance

S’agissant du premier plateau de la balance, il convient d’apprécier l’intérêt légitime du responsable du traitement.

S’il est impossible de porter des jugements de valeur à l’égard de toutes les formes d’intérêt légitime envisageables, il est possible de formuler certaines orientations.

Comme indiqué précédemment, cet intérêt peut être insignifiant ou impérieux, manifeste ou plus controversé.

Pour apprécier la teneur de cet intérêt, plusieurs facteurs doivent être pris en compte :

  • L’exercice d’un droit fondamental par le responsable du traitement
    • Pour que l’intérêt légitime du responsable du traitement prévale, le traitement des données doit être « nécessaire » et « proportionné » à l’exercice du droit fondamental concerné.
    • À titre d’illustration, selon les circonstances, il peut s’avérer nécessaire et proportionné qu’un journal publie certains éléments incriminants à propos du train de vie d’un haut fonctionnaire impliqué dans un scandale de corruption présumé.
    • Il n’est pas question, néanmoins, de donner aux médias toute latitude de publier sans motif valable n’importe quel détail sur la vie privée des personnalités publiques.
  • Intérêt public/intérêt de la collectivité
    • Dans certains cas, le responsable du traitement peut choisir d’invoquer l’intérêt public ou l’intérêt de la collectivité (que ce soit prévu ou non par les lois ou les réglementations nationales).
    • Par exemple, des données à caractère personnel peuvent être traitées par une association caritative aux fins de la recherche médicale, ou par une organisation sans but lucratif dans le cadre d’une action de mobilisation contre la corruption.
    • Il peut aussi arriver que l’intérêt commercial d’une société privée coïncide dans une certaine mesure avec un intérêt public.
    • Cela peut être le cas, par exemple, pour lutter contre la fraude financière ou l’utilisation abusive de services
    • En général, le fait qu’un responsable du traitement agisse non seulement dans son propre intérêt légitime (commercial, par exemple), mais aussi dans l’intérêt de la collectivité, peut donner plus de « poids » à cet intérêt.
  • Autres intérêts légitimes
    • Dans certains cas, le contexte dans lequel un intérêt légitime apparaît peut se rapprocher de ceux où certains autres fondements juridiques peuvent être retenus
    • Par exemple, il se peut qu’une activité de traitement des données ne soit pas strictement nécessaire, mais qu’elle reste néanmoins pertinente pour l’exécution d’un contrat, comme il est possible qu’une loi autorise, le traitement de certaines données, sans pour autant l’exiger.

==> Le second plateau de la balance

L’autre plateau de la balance, à savoir l’incidence du traitement sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée, constitue un critère crucial.

Pour apprécier l’incidence du traitement, il convient de prendre en considération les conséquences aussi bien positives que négatives.

Il peut s’agir notamment de décisions ou de mesures éventuelles qui seront prises ultérieurement par des tiers et de situations où le traitement peut aboutir à l’exclusion de certaines personnes, à une discrimination à leur encontre, à de la diffamation ou, plus généralement, de situations qui comportent un risque de nuire à la réputation, au pouvoir de négociation ou à l’autonomie de la personne concernée.

En plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive ou d’une compromission effective ou potentielle de ces informations – du fait, par exemple, de leur divulgation sur l’internet.

L’effet dissuasif sur un comportement protégé, comme la liberté de recherche ou la liberté d’expression, qui peut résulter d’une surveillance constante ou d’un traçage, doit aussi être dûment pris en considération.

Afin d’évaluer l’incidence du traitement de données à caractère personnel sur la personnel concernée, le Groupe de l’article 29 préconise de prendre en compte un certain nombre de facteurs :

  • La nature des données
    • En général, plus les informations sont sensibles, plus les conséquences qu’elles peuvent avoir pour la personne concernée sont importantes.
    • Cela ne veut pas dire, cependant, qu’il est permis de traiter librement des données qui, en elles-mêmes, peuvent paraître anodines.
    • En effet, selon la façon dont elles sont traitées, même ces données peuvent avoir une incidence importante sur les individus
  • La façon dont les données sont traitées
    • L’analyse d’impact au sens large peut consister notamment à examiner si les données ont été publiées ou rendues accessibles par quelque autre moyen à un grand nombre de personnes, ou si des volumes considérables de données à caractère personnel sont traités ou combinés avec d’autres données (par exemple, en cas d’établissement de profils, à des fins commerciales, judiciaires, ou autres).
    • Le traitement à grande échelle de données apparemment anodines et leur combinaison avec d’autres données peuvent parfois permettre des inférences à propos de données plus sensibles.
  • Les attentes raisonnables de la personne concernée
    • Les attentes raisonnables de la personne concernée quant à l’utilisation et à la divulgation des données doivent être prises en compte dans la mise en balance.
    • A cet égard, il est important d’examiner si le statut du responsable du traitement des données, la nature de la relation ou du service fourni ou les obligations légales ou contractuelles applicables (ou d’autres engagements pris lors de la collecte) pourraient susciter des attentes raisonnables de confidentialité plus stricte et de limitations plus strictes en cas d’utilisation ultérieure.
  • Le statut du responsable du traitement des données et de la personne concernée
    • Le statut de la personne concernée et du responsable du traitement des données est aussi pertinent pour apprécier l’incidence du traitement.
    • Selon que le responsable du traitement des données est un individu ou une petite organisation, une grande multinationale, ou un organisme du secteur public et en fonction des circonstances, le rapport de force avec la personne concernée peut être plus ou moins grand.
    • Une grande multinationale dispose, par exemple, de ressources et d’un pouvoir de négociation considérables vis-à-vis d’une personne concernée, à titre individuel, et elle peut par conséquent être à même d’imposer ce qu’elle considère comme son « intérêt légitime » à la personne concernée, surtout si l’entreprise occupe une position dominante sur le marché.
    • D’un autre côté, le statut de la personne concernée a aussi son importance. Si, en principe, il y a lieu d’appliquer le critère de mise en balance par rapport à un individu moyen, certaines situations spécifiques appellent plutôt une approche au cas par cas : par exemple, il serait pertinent de prendre en considération le fait que la personne concernée est un enfant ou appartient à une catégorie de population plus vulnérable qui requiert une protection spéciale, comme, par exemple, les malades mentaux, les demandeurs d’asile ou les personnes âgées.

D) Quatrième étape

Afin de déterminer si le traitement de données à caractère personne peut être mis en œuvre sur le fondement juridique de l’intérêt légitime du responsable du traitement, c’est l’appréciation générale de la mise en balance qui déterminera si le résultat est acceptable ou non.

Plus l’incidence sur la personne concernée est significative, plus faudra prêter attention aux garanties qu’il convient de mettre en place.

Après une analyse et un examen attentif de tous les aspects du problème, un bilan provisoire peut être établi : une conclusion préliminaire peut être tirée afin de déterminer si l’intérêt légitime poursuivi par le responsable du traitement prévaut sur les droits et les intérêts des personnes concernées.

Il peut cependant y avoir des cas où le résultat de la mise en balance n’est pas clair et où il subsiste un doute quant à la question de savoir si l’intérêt légitime du responsable du traitement (ou du tiers) prévaut et si le traitement peut se fonder sur l’article 7, 5°.

C’est pourquoi il importe de procéder à une évaluation complémentaire dans le cadre de l’exercice de mise en balance.

À ce stade, le responsable du traitement peut envisager d’introduire d’autres mesures, qui vont au-delà du respect des dispositions horizontales de la directive, afin de contribuer à protéger les personnes concernées.

Les garanties supplémentaires destinées à prévenir toute incidence indue sur les personnes concernées peuvent notamment inclure :

  • La minimisation des données (par exemple, une limitation stricte du volume de données collectées, ou la suppression immédiate des données après utilisation)
  • Des mesures techniques et organisationnelles garantissant les données ne peuvent servir à la prise de décisions ou d’autres mesures à l’endroit des individus («séparation fonctionnelle»)
  • Un large recours aux techniques d’anonymisation, l’agrégation des données, les technologies renforçant la protection de la vie privée, la prise en compte du respect de la vie privée dès la conception, les analyses d’impact relatives à la vie privée et à la protection des données
  • Une transparence accrue, un droit général et inconditionnel de refuser le traitement, la portabilité des données et autres mesures connexes visant à renforcer le pouvoir des personnes concernées.

Lorsque les garanties prises par le responsable du traitement sont insuffisantes, la CNIL n’hésite pas à prononcer des sanctions à son encontre.

Tel avait été le cas dans le cadre d’une délibération rendue 19 juillet 2012 (CNIL, délib. n°2012-214 du 19 juillet 2012)

  • Les faits
    • Il s’agissait d’une société (la FNAC) qui avait pour activité la vente à distance sur catalogue.
    • Elle exploitait, plus précisément, un site de e-commerce
    • Lors du contrôle diligenté par la CNIL dans les locaux de cette société, il a été établi que dans les bases de la société figuraient notamment les données sur les produits commandés ainsi que sur les transactions commerciales effectuées, une table de cette base étant par ailleurs réservée aux coordonnées bancaires des clients.
    • Dans cette table apparaissaient les noms des porteurs des cartes bancaires, leurs numéros et leurs dates d’expiration, qui correspondent à environ 10 millions de cartes bancaires en cours de validité ainsi qu’à un grand nombre de cartes bancaires dont la date de validité est expirée.
    • La finalité de la conservation de ces données, qui permet aux clients de la société de ne pas avoir à les ressaisir lors d’une prochaine commande, consistait donc à leur offrir une prestation de portefeuille électronique.
  • Moyens de défense de la FNAC
    • Pour justifier cette pratique, la FNAC soutenait que la conservation de ces coordonnées bancaires dans ses bases était conforme aux conditions posées par les articles 7-4° et 7-5° de la loi du 6 janvier 1978 modifiée, qui prévoient qu’il n’est pas nécessaire de recueillir le consentement des personnes quand le traitement est lié
      • Soit à l’exécution d’un contrat auquel la personne concernée est partie
      • Soit à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée
    • A cet égard, elle soutenait
      • D’une part, que la conservation des données bancaires était conforme à la finalité annoncée au client
      • D’une part, que cette prestation faisait pleinement partie du service qui est proposé par l’e-commerçant
      • Enfin, qu’elle a en outre adopté une approche transparente à l’égard des visiteurs sur son site, où la conservation du numéro de carte bancaire et la possibilité de le supprimer sont mentionnés à plusieurs reprises.
  • Décision
    • Bien que pertinents, les arguments avancés n’ont pas suffi à emporter la conviction de la CNIL.
    • La Commission rejette notamment l’argument tenant à l’invocation du fondement de l’intérêt légitime poursuivi par la FNAC.
    • Celui-ci consistait, en l’espèce, à faciliter la réalisation d’un ou de plusieurs paiements successifs dans la durée, et par conséquent en l’optimisation des transactions commerciales effectuées sur son site.
    • Si la CNIL ne nie pas l’existence de cet intérêt légitime, elle rappelle, néanmoins, que doit être effectuée une balance entre les intérêts poursuivis par la société et ceux des personnes concernées.
    • A cet égard, la FNAC soutenait que les personnes étaient amplement informées de la conservation de leurs données bancaires ainsi que de la possibilité de les supprimer en se connectant à son compte client après chaque transaction effectuée sur son site.
    • Pour la Commission, sur ce point, si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées.
    • En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties.
    • Pour la CNIL c’est bien au titre des garanties minimales qu’il incombait à la FNAC de de recueillir le consentement des personnes au stockage de leurs coordonnées bancaires au-delà de la réalisation de la transaction, ce qu’elle n’a pas fait.
    • Elle estime par ailleurs que l’argument tiré d’une meilleure ergonomie du site ne pouvait pas prospérer.

Au bilan, il ressort de cette délibération de la CNIL que lorsqu’à l’issue de la mise en balance il apparaît que l’impact du traitement sur la personne concernée s’avère négatif, il appartient au responsable de mettre en place des garanties appropriée, sinon renforcées, afin de rééquilibrer la balance.

RGPD: les fondements juridiques du traitement de données à caractère personnel

==> Genèse

Dans sa version initiale, la loi informatique et libertés n’exigeait pas que le consentement des personnes soit recueilli préalablement au traitement de leurs données à caractère personnel.

Tout au plus, le texte leur conférait la faculté de s’opposer « pour des raisons légitimes » à ce que les informations les concernant fassent l’objet d’un traitement.

Afin de renforcer la protection des personnes, le législateur européen a, lors de l’adoption de la directive du 24 octobre 1995, décidé de mettre en terme à cette situation en posant l’exigence d’obtention du consentement préalablement à la mise en œuvre d’un traitement de données à caractère personnel.

==> Les textes

L’article 7 de la LIL prévoit que « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ».

Cette exigence a été reprise par le RGPD dont l’article 6 prévoit que « le traitement n’est licite que si […] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».

Il ressort donc de ces deux textes que le recueil du consentement de la personne concernée est requis préalablement au traitement de ses données à caractère personnel. C’est ce que l’on appelle le principe de l’opt in, par opposition au principe de l’opt out.

En somme :

  • Le principe de l’opt in implique que la personne concernée consente, au préalable, au traitement de ses données à caractère personnel, faute de quoi ledit traitement ne pourra pas être mis en œuvre.
  • Le principe de l’opt out pose, quant à lui, une présomption de consentement de la personne concernée, laquelle dispose seulement de la faculté de s’opposer, a posteriori, au traitement de ses données à caractère personnel

Les deux systèmes sont ainsi radicalement opposés. Tandis que le législateur français avait opté pour le système de l’opt out en 1978, il a finalement retenu le système de l’opt in en 2004 lors de la transposition de la directive du 24 octobre 1995.

Reste que, un certain nombre de dérogations au principe du consentement sont prévues par la LIL.

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Dans le RGPD ces exceptions sont placées au même niveau que l’exigence de consentement, en ce sens que, selon le texte, un traitement de données à caractère personnel peut avoir 5 fondements juridiques alternatifs autre que le consentement.

==> Articulation du consentement avec les autres fondements juridiques

Le RGPD envisage clairement le consentement comme une condition de licéité.

De son côté, la LIL le présente comme une condition privilégiée, parfois proche d’un principe constitutionnel, liée au statut de droit fondamental de la protection des données.

Afin d’éclairer le rôle du consentement dans des cas spécifiques, il est utile de préciser le rapport entre le consentement et d’autres conditions de licéité, notamment par rapport aux contrats, aux missions d’intérêt public ou à l’intérêt légitime du responsable du traitement et au droit de s’opposer au traitement.

L’ordre dans lequel les fondements juridiques sont cités à l’article 6 est important, mais il ne signifie pas que le consentement soit toujours le fondement le plus approprié pour légitimer le traitement de données à caractère personnel.

L’article 6 mentionne d’abord le consentement et poursuit en énumérant les autres fondements juridiques, comme les contrats et les obligations légales, avant de passer progressivement à l’équilibre des intérêts.

Il y a lieu d’observer que les cinq fondements qui suivent le consentement imposent un critère de « nécessité », qui donc limite strictement le contexte dans lequel ils peuvent s’appliquer.

Cela ne signifie nullement que l’obligation de consentement laisse davantage de marge de manœuvre que les autres fondements cités à l’article 6.

En outre, l’obtention d’un consentement n’annule pas les obligations imposées au responsable du traitement en termes d’équité, de nécessité, de proportionnalité ainsi que de qualité des données.

Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de l’utilisateur, cela ne justifie pas la collecte de données excessives au regard d’une fin particulière.

Ce n’est que dans des circonstances très restreintes que le consentement peut légitimer des traitements de données qui auraient été interdits autrement, notamment dans le cas du traitement de certaines données sensibles ou pour permettre le traitement ultérieur de données à caractère personnel, que celui-ci soit ou non compatible avec la finalité spécifiée à l’origine.

Tout bien pesé, il est indifférent que les fondements juridiques alternatifs au principe du consentement soient présentés comme des exceptions ou soient placés au même niveau.

Ce qui importe, c’est de considérer qu’il constitue une condition de licéité du traitement et non d’une renonciation à l’application d’autres principes.

Au total, il convient de retenir qu’un traitement de données à caractère personnel peut être mis en œuvre sur la base de plusieurs fondements juridiques distincts, au nombre desquels figurent le consentement qui, tant dans le RGPD que dans la LIL, occupe une place centrale.

§1 : Le principe du consentement

Par principe, un traitement de données à caractère personnel ne peut être mis en œuvre qu’à la condition d’avoir recueilli préalablement le consentement de la personne concernée.

A défaut, sauf à rentrer dans le champ d’application d’une exception, le traitement est illicite, ce qui est de nature à exposer le responsable à des sanctions.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par consentement ?

Simple en apparence, l’appréhension de la notion de consentement n’est pas sans soulever de nombreuses difficultés.

L’altération de la volonté d’une personne est, en effet, susceptible de renvoyer à des situations très diverses :

  • La personne concernée peut être atteinte d’un trouble mental
  • Le consentement de la personne peut avoir été obtenu sous la contrainte physique ou morale
  • La personne concernée peut encore avoir été conduite à accepter le traitement sans que son consentement ait été donné en connaissance de cause, car une information déterminante lui a été dissimulée
  • Elle peut également s’être engagé par erreur

Il ressort de toutes ces situations que le défaut de consentement d’une personne peut être d’intensité variable et prendre différentes formes.

Aussi, convient-il de déterminer quels sont les caractères que doit présenter le consentement d’une personne faisant l’objet d’un traitement de données à caractère personnel pour être valable.

I) La qualité du consentement

Tandis que la LIL ne définit pas la notion de consentement, le RGPD remédie à ce silence textuel en le définissant comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Il ressort de cette définition que pour être valable, le consentement doit consister en :

  • Une manifestation de volonté par laquelle la personne concernée accepte le traitement
  • Une manifestation de volonté libre
  • Une manifestation de volonté spécifique
  • Une manifestement de volonté informée
  1. Une manifestation de volonté par laquelle la personne concernée accepte le traitement

La question qui ici se pose est de savoir ce que l’on doit entendre par manifestation de volonté.

Pour le déterminer, il convient de se reporter au considérant n°32 du RGPD dont on peut tirer plusieurs enseignements.

  • Un acte positif
    • Si le texte ne limite pas les formes que peut revêtir le consentement, il doit en tout état de cause s’agi d’une manifestation de volonté, soit d’un acte positif.
    • L’exigence selon laquelle la personne concernée doit « donner » son consentement semble indiquer qu’une simple absence d’action est insuffisante et qu’une action quelconque est nécessaire pour constituer un consentement, bien que différents types d’action, à apprécier «selon le contexte», soient possibles.
    • Ainsi, il ne saurait y avoir de consentement en cas de silence, ce qui pourrait se traduire par l’inaction de la personne concernée ou par des cases cochées par défaut.
    • La manifestation de volonté peut se faire au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.
    • Cette manifestation de volonté peut encore se faire en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.
  • Un acte positif clair
    • Une manifestation de volonté en elle-même n’est pas suffisante à établir le consentement au traitement de la personne concernée.
    • Cette manifestation de volonté ne doit pas être équivoque : elle doit être indubitable
    • Pour qu’un consentement soit indubitable, la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée de donner son consentement.
    • En d’autres termes, la manifestation de volonté par laquelle la personne concernée marque son accord ne doit laisser aucune ambiguïté quant à son intention.
    • S’il existe un doute raisonnable sur l’intention de la personne concernée, il y a ambiguïté.
  • La portée de la manifestation de volonté
    • Le consentement donné par la personne concernée vaut pour toutes les activités de traitement ayant la ou les mêmes finalités.
    • Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble d’entre elles.
    • Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

2. Une manifestation de volonté libre

Pour être valable, le consentement de la personne concernée doit avoir été donné sans contrainte.

Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement.

Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

C’est le cas, par exemple, lorsque la personne concernée est sous l’influence du responsable du traitement, dans le cadre d’une relation de travail, notamment.

Dans ce cas, même s’il n’en est pas nécessairement toujours ainsi, la personne concernée peut se trouver dans une situation de dépendance vis-à-vis du responsable du traitement – en raison de la nature de la relation ou de circonstances particulières – et peut craindre d’être traitée différemment si elle n’accepte pas le traitement de ses données.

Le Groupe de l’article 29 a eu l’occasion d’affirmer que «le consentement libre désigne une décision volontaire, prise par une personne en pleine possession de ses facultés, en l’absence de toute coercition, qu’elle soit sociale, financière, psychologique ou autre ».

3. Une manifestation de volonté spécifique

Pour être valable, le consentement ne doit pas seulement être libre, il doit également être spécifique.

En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas valable.

Pour être spécifique, le consentement doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données. Il ne peut pas s’appliquer à un ensemble illimité d’activités de traitement.

En d’autres termes, le contexte dans lequel le consentement s’applique est limité.

Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. Il couvre notamment les données qui sont traitées et les finalités pour lesquelles elles le sont.

Un « consentement spécifique » est dès lors intrinsèquement lié au fait que le consentement doit être informé.

En principe, il devrait suffire que les responsables du traitement obtiennent un consentement unique pour les différentes opérations, si celles-ci relèvent des attentes raisonnables de la personne concernée.

La Cour de justice de l’Union européenne s’est prononcée sur cette question dans un arrêt du 5 mai 2001, dans le cadre d’une question préjudicielle posée sur l’article 12, paragraphe 2, de la directive « vie privée et communications électroniques ».

Cette question portait sur la nécessité du renouvellement du consentement des abonnés qui ont déjà consenti à la publication de leurs données personnelles dans un annuaire, afin que celles-ci soient transférées en vue de leur publication par d’autres services d’annuaire.

La Cour a jugé que, dès lors que l’abonné a été correctement informé de la possible transmission des données à caractère personnel le concernant à une entreprise tierce et que celui-ci a consenti à la publication desdites données dans un tel annuaire, la transmission de ces données n’exige pas de nouveau consentement de la part de l’abonné, s’il est garanti que les données concernées ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication (CJUE,  5 mai 2001 Aff.  C-543/09, Deutsche Telekom AG)

4. Une manifestement de volonté informée

Il ressort du RGPD que le consentement de la personne concernée par le traitement doit être informée.

Selon le Groupe de l’article 29 cela signifie que qu’« un consentement … doit être fondé sur l’appréciation et la compréhension des faits et des conséquences d’une action. La personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents, en particulier ceux spécifiés aux articles 10 et 11 de la directive, tels que la nature des données traitées, les finalités du traitement, les destinataires d’éventuels transferts et ses droits. Cela suppose également la connaissance des conséquences du refus de consentir au traitement des données en question ».

Autrement dit, la personne concernée doit être à même de consentir au traitement en toute connaissance de cause.

Afin de satisfaire cet objectif, il convient donc que les informations qui lui sont fournies appropriées.

Deux exigences doivent alors être remplies qui tiennent à :

  • La qualité des informations: la manière dont les informations sont communiquées (texte en clair, sans jargon, compréhensible, visible) est capitale pour apprécier si le consentement est « informé ». La manière dont les informations doivent être fournies dépend du contexte. Un utilisateur régulier/moyen devrait être en mesure de les comprendre ;
  • L’accessibilité et la visibilité des informations: les informations doivent être communiquées directement à la personne concernée. Il ne suffit pas que les informations soient « disponibles » quelque part.

II) La preuve du consentement

Le considérant n°42 du RGPD énonce que lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement.

Il échoit, en conséquence, aux responsables de traitements de données à caractère personnel de conserver les preuves attestant que le consentement a effectivement été donné par la personne concernée.

A cet égard, des déclarations expresses pour marquer un accord, comme un accord signé ou une déclaration écrite attestant la volonté de consentir sont des procédures ou des mécanismes qui se prêtent particulièrement bien à la fourniture d’un consentement indubitable.

Plus délicate en revanche est le système des cases à cocher :

  • Les cases à cocher
    • Sur le principe, un système de cases à cocher assorties, par exemple, de la mention « j’accepte les conditions générales d’utilisation», est admis pour recueillir le consentement de la personne concernée.
    • Dans une délibération 2013-420 du 3 janvier 2014 la CNIL a néanmoins posé des limites.
    • Elle a, en effet, considéré que ce système n’était autorisé que lorsque les informations relatives au traitement de données à caractère personnel étaient facilement accessibles.
    • La Commission a ainsi été conduite à sanctionner Google en suite de la modification de sa politique de confidentialité.
    • En l’espèce, le consentement se manifesterait par le fait que l’utilisateur coche la case matérialisant son accord aux conditions d’utilisation et aux règles de confidentialité.
    • Pour Google, ce consentement était éclairé dans la mesure où les informations données étaient suffisamment précises sur les opérations de traitement des données.
    • La CNIL relève toutefois que la mention de cette faculté de combinaison n’apparaît qu’au milieu des règles de confidentialité, dans le dernier tiers de la rubrique intitulée « Comment nous utilisons les données que nous collectons ».
    • Cette information, alors qu’elle a trait à une modification essentielle de la politique de confidentialité de la société, n’était donc pas accessible aux utilisateurs en première intention.
    • Par ailleurs, elle ne se distinguait pas des développements qui l’entourent, eux-mêmes formulés en termes généraux, notamment quant à la description des traitements de données.
    • Il était donc impossible de considérer en l’espèce que le fait de cliquer sur la case J’accepte des conditions d’utilisation puisse être considéré comme un accord explicite et spécifique à cette combinaison.
    • Pour être valable, le formulaire de consentement assorti de cases à cocher doit être suffisamment précis pour permettre à la personne de consentir en toute connaissance de cause.
  • Le recueil du consentement par défaut
    • Les cases pré-cochées
      • Les cases pré-cochés ne sont pas admises par la CNIL dans la mesure où la personne concernée reste passive.
      • Or l’exigence d’un consentement indubitable ne cadre pas bien avec les procédures d’obtention d’un consentement reposant sur l’inaction ou le silence des personnes concernées.
      • En effet, le silence ou l’inaction d’une partie comporte une ambiguïté intrinsèque (la personne concernée pourrait avoir voulu donner son accord ou pourrait simplement avoir voulu ne pas exécuter l’action).
    • Les courriers
      • Il y a pareillement ambiguïté lorsque des personnes sont réputées avoir donné leur consentement lorsqu’elles n’ont pas répondu à une lettre les informant que l’absence de réponse vaut consentement.
      • Dans ce type de situation, le comportement de la personne (ou plutôt son absence d’action) soulève de sérieux doutes sur le fait que la personne ait voulu marquer son accord.
      • Le fait que la personne n’ait pas effectué d’action positive ne permet pas de conclure qu’elle a donné son consentement.
      • Par conséquence, l’exigence de consentement indubitable ne sera pas satisfaite.
      • A cet égard, le groupe de travail a déclaré qu’un consentement fondé sur le silence de la personne est inadéquat dans le contexte de l’envoi de courriers électroniques à des fins de prospection directe.

III) Le consentement des enfants

Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants.

Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant.

A cet égard, l’article 8 du RGPD prévoit que « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Ainsi, cette disposition opère une distinction entre

  • D’une part, les enfants âgés de plus de 16 ans qui sont présumés être en mesure de consentir seuls, soit sans l’intervention de leurs représentants légaux, à un traitement de données à caractère personnel
  • D’autre part, les enfants âgés de moins de 16 ans qui, pour consentir à un traitement de données à caractère personnel, doivent obtenir l’autorisation de leurs représentants légaux

Le texte confère aux États membres une marge de manœuvre, en ce qu’ils peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Le législateur français a retenu comme limite, l’âge de 15 ans.

Lorsque le mineur n’a pas atteint l’âge limite, le RGPD précise qu’il appartient au responsable du traitement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

§2 : Les dérogations au principe du consentement

Si le consentement joue un rôle important dans la mise en œuvre d’un traitement de données à caractère personnel, cela n’exclut pas la possibilité que, compte tenu du contexte, d’autres fondements juridiques puissent être jugés plus appropriés par le responsable du traitement ou la personne concernée.

Le RGPD et la LIL prévoient 5 autres fondements juridiques sur la base desquels un traitement de données à caractère personnel peut être mise en œuvre.

Au nombre de ces fondements juridiques figurent :

  • Le respect d’une obligation légale incombant au responsable du traitement ;
  • La sauvegarde de la vie de la personne concernée ;
  • L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  • L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  • La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Une distinction peut ainsi être établie entre le cas où le traitement des données à caractère personnel se fonde sur le consentement indubitable de la personne concernée et les cinq autres cas.

En résumé, ces derniers décrivent des scénarios où le traitement peut se révéler nécessaire dans un contexte spécifique, comme l’exécution d’un contrat conclu avec la personne concernée, le respect d’une obligation légale imposée au responsable du traitement, etc.

Dans l’hypothèse où le consentement de la personne est requis, ce sont les personnes concernées elles-mêmes qui autorisent le traitement de leurs données à caractère personnel.

Il leur appartient de décider si elles permettent que leurs données soient traitées. Le consentement n’élimine pas pour autant la nécessité de respecter les principes énoncés par la LIL.

De plus, le consentement doit encore remplir certaines conditions essentielles pour être légitime. Dès lors que le traitement des données de l’utilisateur est, en définitive, laissé à sa discrétion, tout dépend de la validité et de la portée du consentement de la personne concernée.

Autrement dit, le premier motif, mentionné à l’article 6 a) du RGPD (le consentement) a trait à l’autodétermination de la personne concernée comme fondement de la légitimité.

Tous les autres motifs, en revanche, autorisent le traitement – moyennant des garanties et des mesures définies – dans des situations où, indépendamment du consentement, il est approprié et nécessaire de traiter les données dans un certain contexte pour servir un intérêt légitime spécifique.

En toute hypothèse, c’est au responsable du traitement des données qu’il revient initialement d’apprécier si les critères énoncés à l’article 7, points a) à f), sont remplis, sous réserve du respect du droit applicable et des orientations relatives à la façon dont ce droit doit être appliqué.

Ensuite, la légitimité du traitement peut faire l’objet d’une autre évaluation, et éventuellement être contestée, par les personnes concernées, par d’autres parties prenantes, par les autorités chargées de la protection des données, et en définitive la question peut être tranchée par les tribunaux.

I) Le respect d’une obligation légale

Ce fondement juridique renvoie à l’hypothèse où le traitement de données à caractère personnel est imposé au responsable du traitement par une obligation légale.

Il pourrait, par exemple, s’agir d’un texte qui impose aux employeurs de communiquer des données relatives aux rémunérations de leurs salariés à la sécurité sociale ou à l’administration fiscale, ou lorsque les institutions financières sont tenues de signaler certaines opérations suspectes aux autorités compétentes en vertu de règles visant à lutter contre le blanchiment d’argent. I

Pour que ce fondement juridique, puisse s’appliquer, l’obligation à laquelle est soumis le responsable du traitement doit satisfaire à un certain nombre de conditions :

  • Une obligation légale ou réglementaire
    • L’obligation sur le fondement de laquelle le traitement est mis en œuvre, doit être imposée par la loi ou par un texte réglementaire et non, par exemple, par une cause contractuelle.
    • A cet égard, le texte légal doit remplir toutes les conditions requises pour rendre l’obligation valable et contraignante, et doit aussi être conforme au droit applicable en matière de protection des données, notamment aux principes de nécessité, de proportionnalité et de limitation de la finalité.
  • Une obligation édictée par l’Union européenne ou un État membre
    • Il importe de souligner que l’obligation légale dont se prévaut le responsable du traitement doit se rapporter aux lois de l’Union européenne ou d’un État membre.
    • Les obligations imposées par les lois de pays tiers (comme, par exemple, l’obligation de mettre en place des mécanismes de dénonciation des dysfonctionnements, instaurée en 2002 par la loi Sarbanes-Oxley aux États-Unis) ne relèvent pas de ce motif.
  • Une obligation à laquelle le responsable du traitement ne peut pas déroger
    • Le responsable du traitement ne doit pas avoir le choix de se conformer ou non à l’obligation.
    • Les engagements volontaires unilatéraux et les partenariats public-privé qui supposent le traitement de données au-delà de ce qui est requis par la loi n’entrent donc pas dans le champ d’application de l’article 7, point 1° de la LIL.
    • Par exemple, si un fournisseur de services internet décide – sans y être contraint par une obligation légale claire et précise – de surveiller ses utilisateurs afin de lutter contre le téléchargement illégal, l’article 7, 1°, ne pourra pas être invoqué comme fondement juridique approprié à cet effet.
  • Une obligation suffisamment claire et précise
    • L’obligation légale elle-même doit être suffisamment claire à propos du traitement de données à caractère personnel qu’elle requiert.
    • En conséquence, l’article 7, point 1°, s’applique sur la base de dispositions juridiques mentionnant explicitement la nature et l’objet du traitement.
    • Le responsable du traitement ne doit pas avoir de marge d’appréciation injustifiée quant à la façon de se conformer à l’obligation légale.

II) La sauvegarde de la vie de la personne concernée

Pour que ce fondement juridique puisse servir de base à un traitement de données à caractère personnel, il est nécessaire que le responsable du traitement justifie de la nécessité de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique.

Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.

Selon le Groupe de l’article 29, l’expression « intérêt vital » semble limiter l’application de ce motif à des questions de vie ou de mort, ou, à tout le moins, à des menaces qui comportent un risque de blessure ou une autre atteinte à la santé de la personne concernée.

A cet égard, le considérant 31 de la Directive du 24 octobre 1995 confirme que l’objectif de ce fondement juridique est de « protéger un intérêt essentiel à la vie de la personne concernée ».

Ni la directive, ni le RGPD ne précise, néanmoins, si la menace doit être immédiate. Ce silence, n’est pas sans soulever des questions quant à la portée de la collecte de données, par exemple, à titre de mesure préventive ou à grande échelle, comme la collecte des données relatives aux passagers transportés par une compagnie aérienne en cas de risque d’épidémie ou d’incident de sûreté.

Le groupe de l’article 29 considère qu’il convient de donner une interprétation restrictive à cette disposition. Bien que l’article 7, 2° de la LIL, ne limite pas expressément l’utilisation de ce motif à des situations où le consentement ne peut servir de fondement juridique, il est raisonnable de supposer que, lorsqu’il est possible et nécessaire de demander un consentement valable, il y a effectivement lieu d’obtenir ce consentement chaque fois que les conditions le permettent.

Cette disposition voit ainsi son application limitée à une analyse au cas par cas et elle ne peut normalement servir à légitimer, ni la collecte massive de données à caractère personnel, ni leur traitement.

III) L’exécution d’une mission de service public

Lorsqu’une personne exécute une mission de service public, l’article 7, 3° de l’autorise à mettre en œuvre un traitement de données à caractère personnel, sans qu’il soit besoin qu’elle recueille, au préalable, le consentement de la personne concernée.

Encore faut-il que la mission confiée au responsable du traitement porte bien sur une mission de service public, ce qui implique qu’elle relève de l’exercice d’une autorité publique conférée en vertu d’un texte légal ou réglementaire.

Ce fondement juridique couvre deux situations :

  • Première situation
    • Il concerne des situations où le responsable du traitement est lui-même investi d’une autorité publique ou d’une mission d’intérêt public (sans nécessairement être lui aussi soumis à une obligation légale de traiter des données) et où le traitement est nécessaire à l’exercice de cette autorité ou de cette mission.
    • Par exemple, une administration fiscale peut collecter et traiter la déclaration de revenus d’une personne afin d’établir et de vérifier le montant de l’impôt à payer.
  • Seconde situation
    • Ce fondement juridique couvre aussi des situations où le responsable du traitement n’est pas investi d’une autorité publique, mais est invité à communiquer des données à un tiers investi d’une telle autorité.
    • Par exemple, un agent d’un service public compétent pour enquêter sur un crime peut demander au responsable du traitement sa coopération dans le cadre d’une enquête en cours, plutôt que de lui ordonner de se soumettre à une demande de coopération spécifique.

En toute hypothèse, pour être licite, il faut que le traitement soit « nécessaire à l’exécution d’une mission de service public », ou encore que le responsable du traitement ou le tiers auquel il communique les données soit investi d’une autorité publique et que le traitement des données soit nécessaire à l’exercice de cette autorité.

Si, toutefois, le traitement suppose une ingérence dans la vie privée ou si le droit national l’exige par ailleurs afin de garantir la protection des personnes concernées, la base juridique encadrant le genre de traitement de données qui peut être autorisé devra être suffisamment précise et spécifique.

L’article 7, 3°, a potentiellement un champ d’application très large, ce qui plaide en faveur d’une interprétation stricte et d’une définition précise, au cas par cas, de l’intérêt public en jeu et de l’autorité publique justifiant le traitement.

IV) L’exécution, d’un contrat ou de mesures précontractuelles

L’article 7, 4° prévoit que le consentement de la personne concernée n’est pas requis lorsque le traitement de données à caractère personnel procède de l’exécution :

  • Soit d’un contrat auquel la personne concernée est partie
  • Soit de mesures précontractuelles prises à la demande de celle-ci

==> Sur l’exécution d’un contrat

Le fondement juridique de l’article 7, 4° vise d’abord les situations dans lesquelles le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

Pour exemple :

  • Il couvre, par exemple, la collecte de données à caractère personnel dans le cadre des formulaires bancaires que doit remplir la personne demandant l’ouverture d’un compte.
  • Il peut encore s’agir du traitement de son adresse pour que des produits achetés en ligne puissent être livrés, ou du traitement des informations figurant sur une carte de crédit afin d’effectuer une transaction.
  • Dans le contexte des relations de travail, ce motif peut autoriser, par exemple, le traitement des informations relatives aux salaires et des coordonnées de comptes bancaires pour que les salariés puissent être payés.

Comme le relève le Groupe de l’article 29, ce fondement juridique doit être interprétée de façon restrictive et ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat, mais plutôt imposé unilatéralement à la personne concernée par le responsable du traitement.

Le fait qu’un certain traitement de données soit couvert par un contrat ne signifie pas non plus automatiquement que le traitement soit nécessaire à son exécution.

Par exemple, l’article 7, 4° de la LIL ne peut pas servir de fondement juridique pour établir un profil des goûts et du mode de vie de l’utilisateur à partir de son historique de navigation sur un site internet et des articles achetés.

En effet, le responsable du traitement des données n’a pas été chargé, dans le contrat, d’établir un profil mais de fournir des produits et des services, par exemple.

Même si ces activités de traitement sont expressément mentionnées en petits caractères dans le contrat, elles n’en deviennent pas pour autant « nécessaires » à l’exécution de ce dernier.

Il existe donc ici un lien évident entre l’appréciation de la nécessité et le respect du principe de limitation de la finalité.

Il importe de déterminer la raison d’être exacte du contrat, c’est-à-dire sa substance et son objectif fondamental, car c’est ce qui permettra de vérifier si le traitement des données est nécessaire à l’exécution du contrat.

==> Sur l’exécution de mesures précontractuelles

Le recueil du consentement préalable de la personne concernée n’est pas non plus requis en cas d’exécution de mesures précontractuelles, soit celles prises avant la conclusion du contrat.

Il peut donc s’appliquer aux relations précontractuelles, pour autant que les démarches soient accomplies à la demande de la personne concernée, plutôt qu’à l’initiative du responsable du traitement ou d’un tiers.

Par exemple, si une personne demande à un détaillant de lui faire une offre de prix pour un produit, le traitement de données effectué à cette fin, tel que la conservation, pour une durée limitée, de l’adresse et des informations à propos de ce qui est demandé, pourra s’appuyer sur ce fondement juridique.

De même, si quelqu’un demande un devis à un assureur pour sa voiture, l’assureur est en droit de traiter les données nécessaires, par exemple, la marque et l’âge de la voiture, ainsi que d’autres données pertinentes et proportionnées, afin d’établir le devis.

En revanche, des vérifications détaillées comme, par exemple, le traitement de données d’examens médicaux par une compagnie d’assurances avant de proposer une assurance maladie ou une assurance vie ne seraient pas considérées comme une étape nécessaire accomplie à la demande de la personne concernée.

Le traitement à des fins de prospection commerciale sur l’initiative du responsable du traitement ne pourra pas non plus s’appuyer sur ce motif.

V) La réalisation d’un intérêt légitime

Dernier fondement juridique susceptible de servir de base à la mise en œuvre d’un traitement de données à caractère personnel : la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Ce fondement juridique, d’une portée exceptionnellement générale, est issue de la directive du 24 octobre 1995.

Cette directive ne donnait toutefois aucun critère. Son considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements :

  • Les activités de gestion courante des entreprises et autres organismes
  • La prospection commerciale
  • La prospection par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique

La directive précisait que les traitements devaient, en tout état de cause, être mis en œuvre dans le respect des dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

Sans préciser ce que l’on doit entendre par la notion d’« intérêt légitime », le RGPD énonce, dans son considérant 47 que « les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement ».

Le texte ajoute que l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

Bien que le RGPD apporte des précisions sur le fondement de l’intérêt légitime, il ne définit pas la notion, de sorte qu’il y a lieu de se reporter à l’avis émis par le Groupe de l’article 29 en date du 9 avril 2014.

Selon ce Groupe, pour déterminer si un traitement de données à caractère personnel peut être mise en œuvre sur le fondement de l’intérêt légitime poursuivi par le responsable du traitement, il convient de procéder par étape

A) Première étape

Elle consiste à déterminer si l’intérêt poursuivi par le responsable du traitement est légitime.

Il convient, tout d’abord, de noter que la notion d’intérêt légitime doit être distinguée de la notion de finalité.

  • La finalité est la raison spécifique pour laquelle les données sont traitées : le but de leur traitement
  • L’intérêt, quant à lui, est l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que la société pourrait tirer – du traitement.

La question qui alors se pose est de savoir ce qui rend un intérêt légitime ou illégitime. Il s’agit, autrement dit, de déterminer le seuil de ce qui constitue un intérêt légitime.

Pour le Groupe de l’article 29, un intérêt peut être considéré comme légitime dès lors que le responsable du traitement est en mesure de poursuivre cet intérêt dans le respect de la législation sur la protection des données et d’autres législations.

Autrement dit, un intérêt légitime doit être « acceptable au regard du droit ».

Aussi, un « intérêt légitime » doit donc :

  • Être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné)
  • Être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis)
  • Constituer un intérêt réel et présent (c’est-à-dire non hypothétique)

Le fait que le responsable du traitement poursuive un tel intérêt légitime en traitant certaines données ne signifie pas qu’il puisse nécessairement invoquer l’article 7, 5°, comme fondement juridique justifiant le traitement.

La légitimité de l’intérêt poursuivi n’est qu’un point de départ. La possibilité d’invoquer ce fondement juridique dépend du résultat de la mise en balance entre l’intérêt du responsable du traitement avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

À titre d’illustration : des responsables du traitement peuvent avoir un intérêt légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres et, en fin de compte, de proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients.

Dans cette perspective, l’article 7, 5°, peut constituer un fondement juridique approprié pour certains types d’activités de prospection, en ligne ou hors ligne, pour autant qu’il existe des garanties appropriées, incluant, entre autres, un mécanisme fonctionnel permettant de s’opposer à ce traitement

Cela ne signifie pas pour autant que les responsables du traitement pourraient invoquer l’article 7, 5°, pour surveiller indûment les activités en ligne ou hors ligne de leurs clients, pour compiler d’importants volumes de données à leur propos en provenance de différentes sources, collectées à l’origine dans d’autres contextes et à des fins différentes, et pour créer des profils complexes concernant la personnalité et les préférences des clients, sans les en informer, ni mettre à leur disposition un mécanisme fonctionnel permettant d’exprimer leur opposition, pour ne rien dire de leur consentement éclairé.

Une telle activité de profilage risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable du traitement.

B) Deuxième étape

Il s’agit ici de déterminer si le traitement de données à caractère personnel que le responsable envisage de mettre en œuvre est nécessaire à la réalisation de l’intérêt poursuivi.

Cette exigence a notamment été rappelée par la CJUE dans un arrêt du 13 mai 2014 aux termes duquel elle a considéré que l’article 7 de la directive du 24 octobre 1995 (devenu l’article 6 du RGPD), « permet le traitement de données à caractère personnel lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les droits fondamentaux de la personne concernée, notamment son droit au respect de sa vie privée à l’égard du traitement des données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12).

Lorsque, dès lors, le traitement n’est pas absolument nécessaire à la poursuite de l’intérêt légitime du responsable, le fondement de l’article 6 du RGPD n’est pas applicable.

C) Troisième étape

A supposer que le traitement de données à caractère personnel soit nécessaire à la réalisation de l’intérêt légitime du responsable, encore faut-il, pour être licite, que cet intérêt ne porte pas atteinte à l’intérêt et aux droits et libertés fondamentaux de la personne concernée. Aussi, cela implique-t-il d’opérer une mise en balance.

A cet égard, comme le souligne le Groupe de l’article 29, il importe de relever qu’à la différence de l’«intérêt» du responsable du traitement, l’«intérêt» des personnes concernées n’est pas suivi ici de l’adjectif «légitime».

Cela suppose que la protection de l’intérêt et des droits des individus a une portée plus vaste. Même les personnes qui se livrent à des activités illégales ne devraient pas faire l’objet d’une ingérence disproportionnée dans l’exercice de leurs droits et de leurs intérêts.

Par exemple, un individu qui peut avoir commis un vol dans un supermarché pourrait encore voir son intérêt prévaloir contre la publication par le propriétaire du magasin de sa photo et de son adresse privée sur les murs du supermarché ou et/ou sur l’internet.

En toute hypothèse, il apparaît que l’intérêt légitime poursuivi par le responsable du traitement et les incidences sur l’intérêt et les droits de la personne concernée se présentent sous la forme d’un spectre.

L’intérêt légitime peut être, selon les cas, minime, relativement important ou impérieux.

De même, les incidences sur l’intérêt et les droits des personnes concernées peuvent présenter plus ou moins de gravité et peuvent être anodines ou très préoccupantes.

  • L’intérêt légitime poursuivi par le responsable du traitement, quand il est peu important, ne prévaudra généralement sur l’intérêt et les droits des personnes concernées que dans les cas où les incidences sont encore plus insignifiantes.
  • D’un autre côté, un intérêt légitime impérieux peut justifier, dans certains cas et sous réserve de garanties et de mesures adéquates, une ingérence même grave dans la vie privée ou d’autres conséquences importantes pour l’intérêt ou les droits des personnes concernées.

Il importe ici de souligner le rôle essentiel que les garanties peuvent jouer pour réduire les incidences injustifiées sur les personnes concernées et, partant, modifier l’équilibre des droits et des intérêts, au point que ceux de ces personnes ne prévalent plus sur l’intérêt légitime poursuivi par le responsable du traitement des données.

Le recours à des garanties ne suffit bien sûr pas à justifier, à lui seul, n’importe quel traitement dans toutes les situations envisageables.

Il faut en outre que les garanties en question soient adéquates et suffisantes, et qu’elles réduisent indubitablement et sensiblement les incidences sur les personnes concernées.

La mise en balance des intérêts en présence suppose de confronter les deux plateaux de la balance :

==> Sur le premier plateau de la balance

S’agissant du premier plateau de la balance, il convient d’apprécier l’intérêt légitime du responsable du traitement.

S’il est impossible de porter des jugements de valeur à l’égard de toutes les formes d’intérêt légitime envisageables, il est possible de formuler certaines orientations.

Comme indiqué précédemment, cet intérêt peut être insignifiant ou impérieux, manifeste ou plus controversé.

Pour apprécier la teneur de cet intérêt, plusieurs facteurs doivent être pris en compte :

  • L’exercice d’un droit fondamental par le responsable du traitement
    • Pour que l’intérêt légitime du responsable du traitement prévale, le traitement des données doit être « nécessaire » et « proportionné » à l’exercice du droit fondamental concerné.
    • À titre d’illustration, selon les circonstances, il peut s’avérer nécessaire et proportionné qu’un journal publie certains éléments incriminants à propos du train de vie d’un haut fonctionnaire impliqué dans un scandale de corruption présumé.
    • Il n’est pas question, néanmoins, de donner aux médias toute latitude de publier sans motif valable n’importe quel détail sur la vie privée des personnalités publiques.
  • Intérêt public/intérêt de la collectivité
    • Dans certains cas, le responsable du traitement peut choisir d’invoquer l’intérêt public ou l’intérêt de la collectivité (que ce soit prévu ou non par les lois ou les réglementations nationales).
    • Par exemple, des données à caractère personnel peuvent être traitées par une association caritative aux fins de la recherche médicale, ou par une organisation sans but lucratif dans le cadre d’une action de mobilisation contre la corruption.
    • Il peut aussi arriver que l’intérêt commercial d’une société privée coïncide dans une certaine mesure avec un intérêt public.
    • Cela peut être le cas, par exemple, pour lutter contre la fraude financière ou l’utilisation abusive de services
    • En général, le fait qu’un responsable du traitement agisse non seulement dans son propre intérêt légitime (commercial, par exemple), mais aussi dans l’intérêt de la collectivité, peut donner plus de « poids » à cet intérêt.
  • Autres intérêts légitimes
    • Dans certains cas, le contexte dans lequel un intérêt légitime apparaît peut se rapprocher de ceux où certains autres fondements juridiques peuvent être retenus
    • Par exemple, il se peut qu’une activité de traitement des données ne soit pas strictement nécessaire, mais qu’elle reste néanmoins pertinente pour l’exécution d’un contrat, comme il est possible qu’une loi autorise, le traitement de certaines données, sans pour autant l’exiger.

==> Le second plateau de la balance

L’autre plateau de la balance, à savoir l’incidence du traitement sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée, constitue un critère crucial.

Pour apprécier l’incidence du traitement, il convient de prendre en considération les conséquences aussi bien positives que négatives.

Il peut s’agir notamment de décisions ou de mesures éventuelles qui seront prises ultérieurement par des tiers et de situations où le traitement peut aboutir à l’exclusion de certaines personnes, à une discrimination à leur encontre, à de la diffamation ou, plus généralement, de situations qui comportent un risque de nuire à la réputation, au pouvoir de négociation ou à l’autonomie de la personne concernée.

En plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive ou d’une compromission effective ou potentielle de ces informations – du fait, par exemple, de leur divulgation sur l’internet.

L’effet dissuasif sur un comportement protégé, comme la liberté de recherche ou la liberté d’expression, qui peut résulter d’une surveillance constante ou d’un traçage, doit aussi être dûment pris en considération.

Afin d’évaluer l’incidence du traitement de données à caractère personnel sur la personnel concernée, le Groupe de l’article 29 préconise de prendre en compte un certain nombre de facteurs :

  • La nature des données
    • En général, plus les informations sont sensibles, plus les conséquences qu’elles peuvent avoir pour la personne concernée sont importantes.
    • Cela ne veut pas dire, cependant, qu’il est permis de traiter librement des données qui, en elles-mêmes, peuvent paraître anodines.
    • En effet, selon la façon dont elles sont traitées, même ces données peuvent avoir une incidence importante sur les individus
  • La façon dont les données sont traitées
    • L’analyse d’impact au sens large peut consister notamment à examiner si les données ont été publiées ou rendues accessibles par quelque autre moyen à un grand nombre de personnes, ou si des volumes considérables de données à caractère personnel sont traités ou combinés avec d’autres données (par exemple, en cas d’établissement de profils, à des fins commerciales, judiciaires, ou autres).
    • Le traitement à grande échelle de données apparemment anodines et leur combinaison avec d’autres données peuvent parfois permettre des inférences à propos de données plus sensibles.
  • Les attentes raisonnables de la personne concernée
    • Les attentes raisonnables de la personne concernée quant à l’utilisation et à la divulgation des données doivent être prises en compte dans la mise en balance.
    • A cet égard, il est important d’examiner si le statut du responsable du traitement des données, la nature de la relation ou du service fourni ou les obligations légales ou contractuelles applicables (ou d’autres engagements pris lors de la collecte) pourraient susciter des attentes raisonnables de confidentialité plus stricte et de limitations plus strictes en cas d’utilisation ultérieure.
  • Le statut du responsable du traitement des données et de la personne concernée
    • Le statut de la personne concernée et du responsable du traitement des données est aussi pertinent pour apprécier l’incidence du traitement.
    • Selon que le responsable du traitement des données est un individu ou une petite organisation, une grande multinationale, ou un organisme du secteur public et en fonction des circonstances, le rapport de force avec la personne concernée peut être plus ou moins grand.
    • Une grande multinationale dispose, par exemple, de ressources et d’un pouvoir de négociation considérables vis-à-vis d’une personne concernée, à titre individuel, et elle peut par conséquent être à même d’imposer ce qu’elle considère comme son « intérêt légitime » à la personne concernée, surtout si l’entreprise occupe une position dominante sur le marché.
    • D’un autre côté, le statut de la personne concernée a aussi son importance. Si, en principe, il y a lieu d’appliquer le critère de mise en balance par rapport à un individu moyen, certaines situations spécifiques appellent plutôt une approche au cas par cas : par exemple, il serait pertinent de prendre en considération le fait que la personne concernée est un enfant ou appartient à une catégorie de population plus vulnérable qui requiert une protection spéciale, comme, par exemple, les malades mentaux, les demandeurs d’asile ou les personnes âgées.

D) Quatrième étape

Afin de déterminer si le traitement de données à caractère personne peut être mis en œuvre sur le fondement juridique de l’intérêt légitime du responsable du traitement, c’est l’appréciation générale de la mise en balance qui déterminera si le résultat est acceptable ou non.

Plus l’incidence sur la personne concernée est significative, plus faudra prêter attention aux garanties qu’il convient de mettre en place.

Après une analyse et un examen attentif de tous les aspects du problème, un bilan provisoire peut être établi : une conclusion préliminaire peut être tirée afin de déterminer si l’intérêt légitime poursuivi par le responsable du traitement prévaut sur les droits et les intérêts des personnes concernées.

Il peut cependant y avoir des cas où le résultat de la mise en balance n’est pas clair et où il subsiste un doute quant à la question de savoir si l’intérêt légitime du responsable du traitement (ou du tiers) prévaut et si le traitement peut se fonder sur l’article 7, 5°.

C’est pourquoi il importe de procéder à une évaluation complémentaire dans le cadre de l’exercice de mise en balance.

À ce stade, le responsable du traitement peut envisager d’introduire d’autres mesures, qui vont au-delà du respect des dispositions horizontales de la directive, afin de contribuer à protéger les personnes concernées.

Les garanties supplémentaires destinées à prévenir toute incidence indue sur les personnes concernées peuvent notamment inclure :

  • La minimisation des données (par exemple, une limitation stricte du volume de données collectées, ou la suppression immédiate des données après utilisation)
  • Des mesures techniques et organisationnelles garantissant les données ne peuvent servir à la prise de décisions ou d’autres mesures à l’endroit des individus («séparation fonctionnelle»)
  • Un large recours aux techniques d’anonymisation, l’agrégation des données, les technologies renforçant la protection de la vie privée, la prise en compte du respect de la vie privée dès la conception, les analyses d’impact relatives à la vie privée et à la protection des données
  • Une transparence accrue, un droit général et inconditionnel de refuser le traitement, la portabilité des données et autres mesures connexes visant à renforcer le pouvoir des personnes concernées.

Lorsque les garanties prises par le responsable du traitement sont insuffisantes, la CNIL n’hésite pas à prononcer des sanctions à son encontre.

Tel avait été le cas dans le cadre d’une délibération rendue 19 juillet 2012 (CNIL, délib. n°2012-214 du 19 juillet 2012)

  • Les faits
    • Il s’agissait d’une société (la FNAC) qui avait pour activité la vente à distance sur catalogue.
    • Elle exploitait, plus précisément, un site de e-commerce
    • Lors du contrôle diligenté par la CNIL dans les locaux de cette société, il a été établi que dans les bases de la société figuraient notamment les données sur les produits commandés ainsi que sur les transactions commerciales effectuées, une table de cette base étant par ailleurs réservée aux coordonnées bancaires des clients.
    • Dans cette table apparaissaient les noms des porteurs des cartes bancaires, leurs numéros et leurs dates d’expiration, qui correspondent à environ 10 millions de cartes bancaires en cours de validité ainsi qu’à un grand nombre de cartes bancaires dont la date de validité est expirée.
    • La finalité de la conservation de ces données, qui permet aux clients de la société de ne pas avoir à les ressaisir lors d’une prochaine commande, consistait donc à leur offrir une prestation de portefeuille électronique.
  • Moyens de défense de la FNAC
    • Pour justifier cette pratique, la FNAC soutenait que la conservation de ces coordonnées bancaires dans ses bases était conforme aux conditions posées par les articles 7-4° et 7-5° de la loi du 6 janvier 1978 modifiée, qui prévoient qu’il n’est pas nécessaire de recueillir le consentement des personnes quand le traitement est lié
      • Soit à l’exécution d’un contrat auquel la personne concernée est partie
      • Soit à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée
    • A cet égard, elle soutenait
      • D’une part, que la conservation des données bancaires était conforme à la finalité annoncée au client
      • D’une part, que cette prestation faisait pleinement partie du service qui est proposé par l’e-commerçant
      • Enfin, qu’elle a en outre adopté une approche transparente à l’égard des visiteurs sur son site, où la conservation du numéro de carte bancaire et la possibilité de le supprimer sont mentionnés à plusieurs reprises.
  • Décision
    • Bien que pertinents, les arguments avancés n’ont pas suffi à emporter la conviction de la CNIL.
    • La Commission rejette notamment l’argument tenant à l’invocation du fondement de l’intérêt légitime poursuivi par la FNAC.
    • Celui-ci consistait, en l’espèce, à faciliter la réalisation d’un ou de plusieurs paiements successifs dans la durée, et par conséquent en l’optimisation des transactions commerciales effectuées sur son site.
    • Si la CNIL ne nie pas l’existence de cet intérêt légitime, elle rappelle, néanmoins, que doit être effectuée une balance entre les intérêts poursuivis par la société et ceux des personnes concernées.
    • A cet égard, la FNAC soutenait que les personnes étaient amplement informées de la conservation de leurs données bancaires ainsi que de la possibilité de les supprimer en se connectant à son compte client après chaque transaction effectuée sur son site.
    • Pour la Commission, sur ce point, si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées.
    • En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties.
    • Pour la CNIL c’est bien au titre des garanties minimales qu’il incombait à la FNAC de de recueillir le consentement des personnes au stockage de leurs coordonnées bancaires au-delà de la réalisation de la transaction, ce qu’elle n’a pas fait.
    • Elle estime par ailleurs que l’argument tiré d’une meilleure ergonomie du site ne pouvait pas prospérer.

Au bilan, il ressort de cette délibération de la CNIL que lorsqu’à l’issue de la mise en balance il apparaît que l’impact du traitement sur la personne concernée s’avère négatif, il appartient au responsable de mettre en place des garanties appropriée, sinon renforcées, afin de rééquilibrer la balance.

Le régime juridique de la subrogation (légale et conventionnelle): notion, conditions, effets

I) Définition

A) Notion de subrogation

Dérivée du latin subrogare, la notion de subrogation évoque l’idée de remplacement, ce qui peut expliquer pourquoi elle est parfois confondue avec la cession de créance qui produit le même effet, mais dont le régime juridique est différent.

?Les formes de la délégation

Au vrai, le droit civil connaît deux formes très distinctes de subrogation :

  • La subrogation réelle
    • Elle réalise la substitution, dans un patrimoine, d’une chose par une autre.
    • Il en va ainsi lorsqu’un bien mobilier ou immobilier dont est propriétaire une personne est remplacé par une somme d’argent correspondant à la valeur du bien remplacé
    • Aussi, cette opération intéresse moins le droit des obligations que le droit des biens
  • La subrogation personnelle
    • Elle réalise la substitution, dans un rapport d’obligation, d’une personne par une autre.
    • Plus précisément, la subrogation personnelle opère substitution d’une personne, le subrogé, dans les droits d’un créancier, appelé subrogeant, à qui la première paie une dette à la place du débiteur

?Les fonctions de la délégation

Il ressort de la définition de la subrogation personnelle qu’il s’agit là d’une opération pour le moins singulière.

En principe, le paiement effectué, même par un tiers, a seulement pour effet d’éteindre le rapport d’obligation.

Pourtant, par le jeu de la subrogation, ledit rapport subsiste à la faveur du subrogé qui dispose d’un recours contre le débiteur.

Le Doyen Mestre a défini la subrogation personnelle en ce sens comme « la substitution d’une personne dans les droits attachés à la créance dont une autre est titulaire, à la suite d’un paiement effectué par la première entre les mains de la seconde ».

Ainsi, la subrogation personnelle remplit-elle deux fonctions bien distinctes

  • L’accessoire à un paiement
    • En ce que la subrogation a pour effet d’éteindre la créance du subrogeant, elle s’analyse toujours en un paiement
    • Elle consiste toutefois en un paiement spécifique, en ce que, dans le même temps, elle a pour effet d’opérer un transfert de créance.
  • Le transfert d’une créance
    • La subrogation est pourvue de cette particularité de maintenir, nonobstant le paiement du créancier, le rapport d’obligation et ses accessoires, de sorte que le débiteur demeure toujours tenu
    • Pour ce faire, la subrogation opère donc un transfert de la créance dont est titulaire le créancier subrogeant à la faveur du subrogé.
    • Ce maintien du rapport d’obligation se justifie par la nécessité de fonder le recours du tiers solvens, faveur et profit conforme à l’impératif d’équité alors que le créancier, par hypothèse désintéressé, n’y trouverait plus d’utilité, et neutre à l’égard du débiteur dont la situation ne peut être aggravée.

Au regard de ces deux fonctions remplies par la subrogation, immédiatement la question se pose de savoir quelle fonction prime sur l’autre ?

Lors de la réforme des obligations, le législateur a intégré la subrogation dans la partie du Code civil consacrée au paiement.

Il en résulte que la subrogation s’analyserait moins en une opération sur obligation qu’à un paiement. Pourtant, l’évolution des fonctions de la subrogation suggérait la solution inverse.

En effet, si l’on s’attache à physionomie actuelle et à la place qu’elle occupe en droit des assurances ou en droit de la sécurité sociale, la subrogation est surtout envisagée :

  • D’une part, comme un mécanisme objectif gouvernant les recours tiers payeurs ou tiers garants
  • D’autre part, comme un mode original de transmission de créance à titre principal, se distinguant seulement de la cession de créance, en ce qu’elle intervient à titre accessoire à un paiement.

En conséquence, il aurait sans aucun doute été plus judicieux de traiter de la subrogation dans la partie dédiée aux opérations sur obligation.

Tel n’a pas été le choix du législateur qui finalement a retenu une conception somme toute classique de la subrogation.

Pour justifier sa solution, il est précisé dans le Rapport au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 que « la subrogation, souvent considérée aujourd’hui comme une opération purement translative de créance, est délibérément maintenue dans le chapitre consacré à l’extinction de l’obligation, dans la section relative au paiement, ce qui permet de rappeler qu’elle est indissociablement liée à un paiement fait par un tiers, qui libère un débiteur – totalement ou partiellement – envers son créancier, et qu’elle ne constitue pas une opération translative autonome, mais une modalité du paiement. »

B) Distinctions

?Subrogation personnelle et cession de créance

  • Définition
    • Contrairement à la cession de créance qui a pour objet un transfert de droits, la subrogation réalise une substitution de personne ou de chose.
    • Lorsqu’elle est personnelle, la subrogation produit certes les mêmes effets que la cession de créance : le créancier subrogé devient titulaire de la même créance que le créancier subrogeant ce qui revient à réaliser un transfert de ladite créance de l’un à l’autre.
    • Toutefois, elle s’en distingue sur un point majeur
      • En matière de subrogation personnelle, le transfert de créance intervient à titre accessoire à un paiement.
      • En matière de cession de créance, le transfert de créance constitue l’objet principal de l’opération.
    • Ainsi, la subrogation consiste-t-elle en un paiement par une personne autre que le débiteur de sa dette qui, du fait de ce paiement, devient titulaire dans la limite de ce qu’il a payé, de la créance et ses accessoires.
    • L’intention des parties est donc ici d’éteindre, par le paiement, un rapport d’obligation.
    • Tel n’est pas le cas en matière de cession de créance : les parties ont seulement pour intention de transférer un rapport d’obligation moyennant le paiement d’un prix.
  • Effet de l’opération
    • Particularité de la subrogation personnelle, elle n’opère qu’à concurrence de ce qui a été payé par le subrogé. Et pour cause : elle est une modalité de paiement.
    • Ainsi, la subrogation se distingue-t-elle de la cession de créances qui autorise le cessionnaire à actionner le débiteur en paiement pour le montant nominal de la créance, alors même que le prix de cession aurait été stipulé pour un prix inférieur.
    • Tel est le cas, lorsque le cessionnaire s’engage à garantir le cédant du risque d’insolvabilité du débiteur cédé.
    • L’intérêt de la cession de créance réside, dans cette hypothèse, dans la possibilité pour le cessionnaire d’exiger le montant de la totalité de la créance, indépendamment du prix de cession convenu par les parties.
    • Le subrogé ne peut, quant à lui, recouvrer sa créance que dans la limite de ce qu’il a payé et non au regard du montant nominal de la créance.
  • Consentement
    • À la différence de la cession de créance qui requiert le consentement du créancier cédant, la subrogation peut, tantôt exiger le consentement du débiteur, tantôt l’accord du créancier.
    • Tout dépend du type de subrogation (légale ou conventionnelle).

?Subrogation personnelle et délégation

  • Définition
    • La délégation et la subrogation personnelle se rejoignent sur un point majeur
    • En effet, ces deux opérations consistent en un paiement par une personne autre (le délégué) que le débiteur (le délégant) de sa dette.
    • L’intention des parties est donc ici d’éteindre, par le paiement, un rapport d’obligation.
  • Objet de l’opération
    • contrairement à la subrogation personnelle, la délégation n’opère pas de transfert de la créance détenue par le délégant contre le délégué à la faveur du délégataire.
    • Lorsqu’elle est personnelle, la subrogation produit les mêmes effets que la cession de créance : le créancier subrogé devient titulaire de la même créance que le créancier subrogeant ce qui revient à réaliser un transfert de ladite créance de l’un à l’autre.
    • En matière de délégation, aucun transfert de créance ne se réalise.
    • L’opération opère seulement la création d’un nouveau rapport d’obligation entre le délégué et le délégataire.
  • Inopposabilité des exceptions
    • La subrogation personnelle
      • Le débiteur est autorisé à opposer au subrogé toutes les exceptions qu’il pouvait opposer au subrogeant.
      • Il s’agit tant des exceptions inhérentes à la dette (exception d’inexécutions) que des exceptions qui lui sont extérieures (compensation légale).
      • La raison en est que la créance qui entre dans le patrimoine du cessionnaire par l’effet de la subrogation, est exactement la même que celle dont était titulaire le créancier cédant.
    • La délégation
      • Contrairement à la subrogation, il n’y pas ici de transfert de la créance dont est titulaire le délégant contre le délégué.
      • La délégation a pour effet de créer un nouveau rapport d’obligation entre le délégué et le délégataire qui dispose alors de deux débiteurs.
      • Il en résulte que le délégué, en consentant à la délégation, renonce à se prévaloir des exceptions tirées du rapport qui le lie au délégant.
      • Il y a un principe d’inopposabilité des exceptions.
      • L’article 1336, al. 2 du Code civil dispose en ce sens que « le délégué ne peut, sauf stipulation contraire, opposer au délégataire aucune exception tirée de ses rapports avec le délégant ou des rapports entre ce dernier et le délégataire. »
  • Consentement
    • À la différence de délégation qui requiert toujours le consentement des trois parties à l’opération, notamment du délégataire qui doit accepter un nouveau débiteur, la subrogation peut, tantôt exiger le consentement du débiteur, tantôt l’accord du créancier.
    • Tout dépend du type de subrogation (légale ou conventionnelle).

II) Les sources de la subrogation

Le mécanisme de subrogation est susceptible d’être mise en œuvre :

  • Soit par l’effet de la loi
  • Soit par l’effet du contrat

A) La subrogation légale

Lorsque la subrogation est d’origine légale, elle est attachée, de plein droit, au paiement d’une dette par un tiers solvens lequel disposera ensuite d’un recours contre le débiteur.

Toutefois, le tiers solvens qui paie la dette d’autrui ne pourra se prévaloir de la subrogation qu’à la condition de répondre aux exigences posées par la loi.

À défaut, il devra supporter seul le poids de la dette, sans possibilité de se retourner contre le débiteur qui est alors totalement libéré de son obligation, alors même qu’il n’a rien réglé.

Tandis que les rédacteurs du Code civil avaient opté pour une énonciation exhaustive des cas de subrogation (V. en ce sens Cass. civ. 3 juill. 1854), lors de la réforme des obligations le législateur a fait montre de souplesse en refusant d’enfermer les cas de subrogation dans une liste.

Aussi, afin de mieux comprendre le sens et le contenu de la réforme convient-il, en premier lieu, de faire état du droit antérieur.

1. L’état du droit avant la réforme des obligations

L’ancien article 1251 du Code civil prévoyait 5 cas de subrogation légale :

?Premier cas de subrogation

La subrogation joue « au profit de celui qui étant lui-même créancier paie un autre créancier qui lui est préférable à raison de ses privilèges ou hypothèques ».

Cette hypothèse correspondant à la situation où plusieurs créanciers sont inscrits sur l’un des immeubles dont est propriétaire leur débiteur.

La valeur de cet immeuble est insuffisante pour les désintéresser tous, mais suffisante pour éteindre la créance du premier créancier inscrit.

Tandis que ce dernier a tout intérêt à réaliser sa sûreté, le créancier de rang subséquent peut craindre de ne rien toucher du produit de la vente du bien.

Au mieux, celui-ci peut espérer bénéficier d’une plus-value à venir de l’immeuble.

Pour ce faire, il aura tout intérêt à payer lui-même le créancier de rang supérieur en contrepartie de la créance privilégiée de celui-ci.

Le moment venu, soit lorsque la plus-value sera suffisante, il pourra, à son tour, réaliser son hypothèque de premier rang.

Cet intérêt que les créanciers de rang subséquent sont susceptibles de manifester est digne de considération, sans compter que cette situation incite à régler au plus vite le créancier privilégié afin de le dissuader de mettre en œuvre sa sûreté.

D’où l’ouverture par le législateur en 1804 d’un cas de subrogation légale au profit des créanciers de rang subséquent.

La jurisprudence avait toutefois estimé que la subrogation légale ne pouvait pas jouer dans l’hypothèse où l’accipiens était de rang égal ou inférieur au tiers solvens, ce qui a pu être regretté.

?Deuxième cas de subrogation

La subrogation joue « au profit de l’acquéreur d’un immeuble, qui emploie le prix de son acquisition au paiement des créanciers auxquels cet héritage était hypothéqué »

Cette situation correspond à l’hypothèse d’un immeuble hypothéqué au bénéfice de plusieurs créanciers.

Cet immeuble est néanmoins vendu à un tiers à un prix inférieur au montant du passif global.

En raison du droit de suite conféré par l’hypothèque, l’acquéreur s’expose à un risque de saisie s’il règle sa dette entre les mains du vendeur.

Aussi, a-t-il plutôt intérêt à payer directement les créanciers dans l’ordre des inscriptions et à libérer son immeuble à due concurrence des sûretés qui le grèvent.

Il demeure cependant toujours exposé au risque de saisie par les créanciers non remplis de leurs droits.

Aussi, afin de le protéger de ce risque, le législateur lui ouvre le bénéfice de la subrogation légale, en ce sens qu’il va se subroger dans les droits des créanciers qu’il a désintéressés, de sorte que, en cas de saisie de l’immeuble, il primera sur les créanciers de rang subséquent quant à la perception du prix de vente de l’immeuble.

La subrogation dissuadera alors ces derniers d’engager une procédure de saisie.

?Troisième cas de subrogation

La subrogation joue « au profit de l’héritier bénéficiaire qui a payé de ses deniers les dettes de la succession. »

Cette hypothèse correspond à la situation où un héritier a accepté une succession à concurrence de l’actif net, soit sous bénéfice d’inventaire.

L’article 802 du Code civil institue une limite au droit de gage général des créanciers, en ce que les dettes de la succession ne seront pas exécutoires sur ses biens personnels.

En d’autres termes, l’héritier n’est tenu des dettes de la succession que dans la limite des biens qu’il reçoit.

Cependant, il peut avoir intérêt à payer les créanciers successoraux avec ses deniers personnels afin de faciliter la liquidation de la succession et, par exemple, éviter la vente forcée d’un bien.

C’est la raison pour laquelle la loi lui consent le bénéfice de la subrogation, afin qu’il puisse se faire rembourser auprès des cohéritiers.

?Quatrième cas de subrogation

La subrogation joue « au profit de celui qui a payé de ses deniers les frais funéraires pour le compte de la succession. »

Ce nouveau cas de subrogation légale a été introduit par la loi n° 2006-728 du 23 juin 2006 portant réforme des successions et des libéralités.

Il vise à permettre au tiers solvens, qui a acquitté les frais funéraires avec ses propres deniers, de ses retourner contre les cohéritiers afin de se faire rembourser.

?Cinquième cas de subrogation

La subrogation joue « au profit de celui qui, étant tenu avec d’autres ou pour d’autres au paiement de la dette, avait intérêt de l’acquitter ».

Il s’agit là du cas de subrogation le plus large, ce d’autant plus que le législateur s’est appuyé sur ce cas pour énoncer un principe général.

  • Les hypothèses envisagées par le législateur
    • Elles sont au nombre de deux :
      • Celui qui est « tenu avec d’autres »
        • Il s’agit de l’hypothèse où des codébiteurs sont tenus à une obligation solidaire
        • Le créancier peut alors actionner en paiement chacun d’entre eux pour le tout
        • La loi permet à celui qui a réglé de se subroger dans les droits du créancier afin de se retourner contre ses codébiteurs
      • Celui qui est « tenu pour d’autres »
        • Il s’agit de l’hypothèse où une personne est le débiteur accessoire d’une obligation, tels la caution ou le donneur d’aval en matière cambiaire.
        • Dans l’hypothèse où le garant est actionné en paiement par le créancier, la lui permet, au moyen d’une subrogation, d’exercer un recours contre le débiteur principal
  • Le principe général dégagé par la jurisprudence
    • Il ressort de la lettre de l’ancien article 1251, 3° du Code civil que le législateur n’a pas envisagé consentir le bénéfice de la subrogation à celui qui a réglé une dette personnelle dont il est tenu envers le créancier.
    • Seules les personnes qui ont réglé une dette solidaire ou la dette d’un tiers sont susceptibles de se prévaloir de la subrogation.
    • Pourtant, il est un certain nombre de cas où lorsqu’un débiteur a payé une dette qui lui était personnelle, se profile un second débiteur qui, parce qu’il a tiré avantage de l’extinction de l’obligation, doit assurer la charge définitive de la dette.
    • Il s’agit notamment du cas de l’assureur de dommages.
    • Par son paiement, il libère le tiers responsable ou coresponsable sur qui doit peser totalement ou partiellement la charge définitive de la dette.
    • Aussi, afin de lui permettre d’exercer un recours, la jurisprudence, puis le législateur, lui ont ouvert le droit de se subroger dans les droits de son assuré.
    • Le lien avec l’idée d’un tiers solvens tenu avec d’autres ou pour d’autres, en somme le lien avec la dette d’autrui, se retrouve et l’esprit du texte est préservé.
    • Le principe général posé par la jurisprudence a été consacré en dehors du Code civil par des textes spéciaux.
      • Le recours de l’assureur
        • L’article L. 121-12 du Code des assurances dispose que « l’assureur qui a payé l’indemnité d’assurance est subrogé, jusqu’à concurrence de cette indemnité, dans les droits et actions de l’assuré contre les tiers qui, par leur fait, ont causé le dommage ayant donné lieu à la responsabilité de l’assureur. »
      • Le recours du tiers payeur
        • Le législateur a institué une liste de tiers payeurs ayant versé des prestations à la victime d’un dommage corporel, quelle que soit la nature de l’événement ayant occasionné ce dommage
        • Y figurent les Caisses de sécurité sociale et les établissements et services gérant un régime obligatoire de sécurité sociale (EDF, SNCF, RATP).
        • Ces derniers bénéficient d’un recours subrogatoire contre l’auteur du dommage dont est victime leur affilié.

2. L’état du droit positif

?L’élargissement du domaine d’application de la subrogation légale

Lors de l’adoption de la réforme des obligations, le législateur a entendu rénover les règles relatives à la subrogation personnelle.

Dans cette perspective, l’ordonne du 10 février 2016 a élargi le champ d’application de la subrogation légale en abolissant la liste – à l’origine exhaustive – des cas de subrogation légale prévus à l’ancien article 1251 du Code civil.

Ainsi, dépassant les hypothèses spécifiques figurant aujourd’hui dans le code civil ainsi que dans divers textes spéciaux, le bénéfice de la subrogation légale est généralisé.

Le nouvel article 1346 du Code civil prévoit en ce sens que « la subrogation a lieu par le seul effet de la loi au profit de celui qui, y ayant un intérêt légitime, paie dès lors que son paiement libère envers le créancier celui sur qui doit peser la charge définitive de tout ou partie de la dette. »

Cet élargissement du domaine d’application de la subrogation légale vise à entériner la jurisprudence qui, à partir de l’article 1251, avait dégagé un principe général.

?L’exigence d’un intérêt légitime

Le bénéfice de la subrogation légale n’est pas sans condition.

L’article 1346 exige que le tiers solvens, pour bénéficier de la subrogation, justifie d’un intérêt légitime.

L’exigence de cet intérêt au paiement permet d’éviter qu’un tiers totalement étranger à la dette et qui serait mal intentionné (dans des relations de concurrence par exemple) puisse bénéficier de la subrogation légale.

Il ne faudrait pas, en effet, que ce tiers puisse, par le jeu de la subrogation, s’ingérer dans les affaires du débiteur et l’actionner en paiement pour lui nuire.

Reste à savoir ce que l’on doit entendre par intérêt légitime.

  • D’une part, cette notion vise tous les anciens cas de subrogation légale prévus par l’ancien article 1251 du Code civil
  • D’autre part, la notion d’intérêt légitime permet d’envisager que le cas où un débiteur a payé une dette qui lui était personnelle, tandis que se profile en arrière-plan un second débiteur qui, parce qu’il a tiré avantage de l’extinction de l’obligation, doit assurer la charge définitive de la dette.
  • Enfin, la notion d’intérêt peut être envisagée négativement en déniant à un tiers qui poursuivrait un but illégitime, et plus généralement qui serait de mauvaise foi, le bénéfice de la subrogation légale

B) La subrogation conventionnelle

À titre de remarque liminaire, il convient d’observer que, bien qu’encadrée par les textes, la subrogation conventionnelle est, par définition, abandonnée à la volonté des parties.

Elle a notamment vocation à jouer dans des hypothèses où l’effet de la loi ne permet pas de bénéficier de la subrogation.

Il ressort de la combinaison des articles 1346-1 et 1346-2 que la subrogation conventionnelle peut intervenir :

  • Soit à l’initiative du créancier : on parle de subrogation ex parte creditoris
  • Soit à l’initiative du débiteur : on parle de subrogation ex parte debitoris

1. La subrogation ex parte creditoris

?Principe

L’article 1346-1 du Code civil prévoit que « la subrogation conventionnelle s’opère à l’initiative du créancier lorsque celui-ci, recevant son paiement d’une tierce personne, la subroge dans ses droits contre le débiteur. »

Cette forme de subrogation procède donc d’une convention conclue entre le créancier accipiens et le tiers solvens dans le cas où ce dernier ne peut pas bénéficier d’une subrogation légale.

Le débiteur n’y prend aucune part dans la mesure où cette convention ne modifie pas sa situation.

?Ratio legis

Compte tenu de cette généralisation de la subrogation légale, il aurait pu être envisagé de supprimer la subrogation conventionnelle ex parte creditoris (c’est-à-dire de la part du créancier), qui semblait dès lors inutile.

Toutefois, les inquiétudes formulées par de nombreux professionnels, qui ont souligné la fréquence du recours à la subrogation conventionnelle dans la pratique des affaires, notamment dans des techniques de financement telles que l’affacturage, justifient de la maintenir, afin de ne pas créer d’insécurité juridique.

?Conditions

Trois conditions cumulatives doivent être réunies pour que cette forme de subrogation conventionnelle opère :

  • Un consentement exprès
    • L’article 1346-1 du Code civil prévoit que la subrogation ex parte creditoris doit être expresse
    • Cela signifie que les parties doivent avoir clairement exprimé leur volonté de conclure une subrogation conventionnelle
    • Aucune formule sacramentelle n’est toutefois exigée
    • Dans un arrêt du 18 octobre 2005, la Cour de cassation a clairement rejeté la possibilité que la subrogation puisse être tacite (Cass. 1ère civ. 18 oct. 2005, n°04-12.513).
    • Pour constater la subrogation, il est d’usage que, en contrepartie du paiement, le créancier délivre au tiers solvens une quittance subrogatoire.
  • Une subrogation concomitante au paiement
    • Aux termes de l’alinéa 3 de l’article 1346-1 du Code civil, pour être valide la subrogation « doit être consentie en même temps que le paiement, à moins que, dans un acte antérieur, le subrogeant n’ait manifesté la volonté que son cocontractant lui soit subrogé lors du paiement. La concomitance de la subrogation et du paiement peut être prouvée par tous moyens »
    • Il ressort de cette disposition que la subrogation doit nécessairement être concomitante au paiement.
    • La raison en est que la subrogation est constitutive d’un mode de paiement ; elle est son accessoire.
    • On ne saurait, en conséquence, envisager qu’elle soit déconnectée du paiement.
    • Cela signifie que la subrogation ne peut intervenir, ni avant, ni après.
      • Si la subrogation intervient avant le paiement
        • Elle s’analyse en une cession de créance ou éventuellement en une promesse de délégation
        • Elle sera alors soumise au régime de la figure juridique à laquelle elle correspond
      • Si la subrogation intervient après le paiement
        • Elle est sans objet, car le paiement a produit son effet extinctif
        • Autrement dit, dans la mesure où le paiement a désintéressé créancier accipiens, le tiers solvens ne saurait se subroger dans ses droits, qui par hypothèse, sont éteints
        • Après le paiement, la créance ne peut revivre
    • Ainsi la subrogation ne se conçoit pas en dehors d’un paiement.
    • L’article 1346-1 du Code civil admet tout au plus que les parties puissent convenir, dans une convention antérieure, que le tiers solvens sera subrogé dans les droits du créancier accipiens au moment du paiement.
    • Dans un arrêt du 29 janvier 1991, la Cour de cassation avait affirmé en ce sens que « la condition de concomitance de la subrogation au paiement, exigée par l’article 1250, 1°, du Code civil, peut être remplie lorsque le subrogeant a manifesté expressément, fût-ce dans un document antérieur, sa volonté de subroger son cocontractant dans ses créances à l’instant même du paiement » (Cass. com. 29 janv. 1991, n°89-10.085).
    • A contrario, cela signifie que la subrogation ne saurait être envisagée rétroactivement : le paiement a eu pour effet d’éteindre le rapport d’obligation qui donc ne peut plus faire l’objet d’aucun transfert.
  • Un paiement effectué par le tiers solvens
    • Pour que la subrogation opère, il est nécessaire que le paiement ait été directement effectué par le tiers solvens ou par son mandataire
    • Aussi, dans l’hypothèse où le paiement aurait été effectué par le débiteur au moyen de deniers que lui aurait prêté un tiers, ce dernier ne saurait se prévaloir du bénéfice de la subrogation.

?Application : l’affacturage

La subrogation conventionnelle ex parte creditoris se rencontre notamment en matière d’affacturage, domaine dans lequel elle joue un rôle essentiel

L’affacturage consiste en l’opération par laquelle un créancier, l’adhérent, transfert à un établissement de crédit, le factor qualifié également d’affactureur, des créances commerciales par le jeu d’une subrogation personnelle moyennant le paiement d’une commission.

Ainsi, l’affactureur s’engage-t-il à régler, par anticipation, tout ou partie des créances qui lui sont transférées par l’adhérent ce qui permet à ce dernier d’être réglé immédiatement des créances à court terme qu’il détient contre ses propres clients.

L’une des principales caractéristiques de l’affacturage réside dans l’engagement pris par le factor de garantir à la faveur de l’adhérent le paiement des créances qui lui sont transférées.

Autrement dit, le factor s’engage à supporter le risque d’impayé en lieu et place de l’adhérent.

L’affacturage se distingue, dès lors, de l’escompte, du contrat de mandat ou encore de l’assurance-crédit.

L’opération d’affacturage repose sur le mécanisme de la subrogation personnelle.

L’affactureur (tiers solvens subrogé) paie l’adhérent (créancier subrogeant) qui, en contrepartie, lui transmet la titularité de la créance qu’il détient contre son client (débiteur subrogataire).

2. La subrogation ex parte debitoris

?Principe

Il y a subrogation ex parte debitoris lorsque le débiteur emprunte une somme d’argent à l’effet de payer sa dette et de subroger le prêteur dans les droits du créancier.

L’article 1346-2 du Code civil prévoit en ce sens que « la subrogation a lieu également lorsque le débiteur, empruntant une somme à l’effet de payer sa dette, subroge le prêteur dans les droits du créancier

Ainsi, dans ce cas de subrogation conventionnelle, c’est le débiteur qui est à l’initiative de l’opération.

Le créancier est donc tiers à la convention subrogatoire.

L’opération s’explique lorsque les conditions de remboursement du prêteur, qui entend être subrogé par le débiteur, sont plus intéressantes que celles convenues avec le créancier originaire.

L’ordonnance du 10 février 2016 s’est inspirée du droit positif pour cette forme de subrogation.

?Conditions

Il ressort de l’article 1346-2 du Code civil que les conditions de la subrogation ex parte creditoris ne sont pas les mêmes selon qu’elle intervient avec ou sans le concours du créancier.

  • La subrogation intervient avec le concours du créancier
    • Dans cette hypothèse, trois conditions doivent être réunies :
      • La subrogation doit être consentie par le débiteur
      • La subrogation doit être expresse
      • La quittance donnée par le créancier doit indiquer l’origine des fonds.
  • La subrogation intervient sans le concours du créancier
    • Les conditions de fond
      • La dette doit être échue
      • Le terme doit être stipulé à la faveur du débiteur en ce sens qu’il doit être le seul à pouvoir y renoncer
    • Les conditions de forme
      • Il faut que l’acte d’emprunt et la quittance soient passés devant notaire (en la forme authentique)
      • Dans l’acte d’emprunt il doit être déclaré que la somme a été empruntée pour faire le paiement
      • Dans la quittance il doit être déclaré que le paiement a été fait des sommes versées à cet effet par le nouveau créancier.

III) Les effets de la subrogation

Comme précisé par le rapport au Président de la République relatif à l’ordonnance du 10 février 2016, le régime de la subrogation, s’il s’inspire des solutions classiques prévues dans le code civil ou admises par la jurisprudence, est néanmoins clarifié sur plusieurs points :

  • Sur les droits du créancier, auquel la subrogation ne peut nuire
  • Sur la transmission des accessoires de la créance et sur l’intérêt auquel peut prétendre le subrogé
  • Sur l’opposabilité de la subrogation au débiteur et aux tiers
  • Sur les exceptions que peut opposer le débiteur au créancier subrogé

A) La transmission de la créance

Aux termes de l’article 1346-4 du Code civil « la subrogation transmet à son bénéficiaire, dans la limite de ce qu’il a payé, la créance et ses accessoires ».

Il ressort de cette disposition que la subrogation produit un effet translatif. Ainsi, la créance du subrogeant fait l’objet d’une transmission à la faveur du tiers subrogé.

Cette opération opère un transfert d’actif d’un patrimoine à un autre à l’instar de la cession de créance. Le tiers subrogé se retrouve substitué dans les droits du titulaire originaire de la créance.

La conséquence en est que le subrogé ne saurait acquérir plus de droits que n’en avaient le subrogeant au moment de la subrogation.

1. L’objet de la transmission

?La créance principale

Il ressort de l’article 1346 du Code civil que la subrogation a pour effet de transmettre au subrogé la créance principale

Toutefois cette disposition précise, dans le même temps, que la subrogation n’opère qu’à concurrence des sommes payées par le tiers solvens au créancier

C’est là une grande différence avec la cession de créance

Contrairement au cessionnaire qui peut agir contre le débiteur pour le montant nominal de la créance sans égard pour le prix de cession éventuellement inférieur qu’il a réglé, le subrogé ne bénéficie de l’effet translatif de la subrogation qu’à la hauteur de ce qu’il a payé.

Cela s’explique par la nature de la subrogation qui est indéfectiblement attachée au paiement, de sorte qu’elle suit le même sort

?Les accessoires de la créance

L’article 1346 du Code civil prévoit que la subrogation a également pour effet de transmettre au subrogé les accessoires de la créance

Ce sera ainsi le cas des sûretés et privilèges attachés à la créance, des garanties (vice caché, éviction), des actions en responsabilité etc.

?Exclusion des droits attachés à la personne

L’article 1346 dispose que la subrogation n’opère pas de transmission « des droits exclusivement attachés à la personne du créancier »

Il s’agit de tous les droits consentis par le débiteur au subrogeant en considération de sa personne, soit qui présentent un caractère intuitu personae

Sont également visées toutes les prérogatives qui sont strictement attachées à la qualité du subrogeant

Dans un arrêt du 25 novembre 1992 la Cour de cassation a par exemple affirmé que « la suspension de la prescription dont bénéficie un mineur, qui lui est purement personnelle, cesse de produire effet à l’égard de la partie subrogée dans ses droits à partir du jour de la subrogation » (Cass. 2e civ. 25 nov. 1992, n°94-13.665).

2. Les limites de la transmission

?Le paiement partiel

Aux termes de l’article 1346-3 du Code civil « la subrogation ne peut nuire au créancier lorsqu’il n’a été payé qu’en partie ; en ce cas, il peut exercer ses droits, pour ce qui lui reste dû, par préférence à celui dont il n’a reçu qu’un paiement partiel ».

Il ressort de cette disposition que dans l’hypothèse où le créancier n’a reçu qu’un paiement partiel de sa créance sans avoir renoncé au surplus de sa créance, celle-ci est alors fractionnée :

  • Le subrogeant demeure titulaire de la créance à concurrence du reliquat non payé
  • Le subrogé ne devient titulaire de la créance qu’à concurrence de ce qu’il a payé

Cette règle se justifie pour deux raisons :

  • Première raison
    • L’effet translatif de la subrogation ne saurait nuire en aucune manière au subrogeant
    • Or tel serait le cas si la subrogation lui interdisait d’exercer tout recours contre le débiteur en cas de paiement partiel
    • C’est là une autre distinction avec la cession de créance qui, dès lors que le prix a été payé par le cessionnaire, prive le cédant de tout recours contre le débiteur.
  • Seconde raison
    • Dans la mesure où la subrogation repose sur le paiement, ses effets en sont à la mesure
    • En conséquence, lorsque le paiement est partiel, l’effet translatif de la subrogation ne peut être partiel
    • Tant que le créancier subrogeant n’est pas rempli dans ses droits, il doit demeurer titulaire de la fraction de créance dont il n’a pas été réglé.

?La priorité de paiement du créancier subrogeant

La question s’est posée de savoir si, en cas de paiement partiel, il n’y avait pas co-titularité conjointe des obligations.

Autrement dit, doit-on considérer que le subrogeant et le subrogé sont sur un même pied d’égalité s’agissant du droit – fractionné – de créance dont ils sont titulaires ?

La lecture de l’article 1346-3 révèle qu’il convient d’apporter une réponse négative à cette question.

Pour mémoire, cette disposition prévoit que, en cas de paiement partiel, le créancier subrogeant « peut exercer ses droits, pour ce qui lui reste dû, par préférence à celui dont il n’a reçu qu’un paiement partiel. »

Ainsi, si le subrogé se voit transmettre une créance hypothécaire de 1.000.000 euros en contrepartie d’un paiement de 500.000 euros et que l’immeuble est adjugé à 750.000 euros, le subrogeant percevra 500.000 euros et le subrogé 250.000 euros.

L’effet translatif n’aura donc pas opéré à concurrence du paiement du subrogé en raison de la préférence accordée au subrogeant. D’où l’adage nemo contra se subrogare censetur qui signifie que « nul n’est censé avoir subrogé contre soi ».

Sous l’empire du droit antérieur, la jurisprudence avait toutefois limité l’application de cette règle aux seules créances assorties d’une sûreté ou d’un privilège.

Lorsque la créance est chirographaire, la Cour de cassation estimait que le créancier subrogeant ne disposait d’aucun privilège (V. en ce sens Cass. 3e civ. 12 févr. 2003, n°01-12.234).

De toute évidence, la réforme est venue remettre en cause cette jurisprudence, dans la mesure où l’article 1346-3 ne distingue pas selon la nature de la créance.

Celui-ci n’est cependant pas d’ordre public, de sorte que les parties pourront y déroger.

3. Le sort des intérêts

La question s’est posée de savoir si le subrogé avait le droit aux intérêts conventionnels prévus dans le contrat initialement conclu entre le créancier subrogeant et le débiteur.

Dans un arrêt du 29 octobre 2002, la Cour de cassation avait répondu par la négative à cette question.

Au soutien de sa décision, elle avait affirmé que « la subrogation est à la mesure du paiement ; que le subrogé ne peut prétendre, en outre, qu’aux intérêts produits au taux légal par la dette qu’il a acquittée, lesquels, en vertu du second, courent de plein droit à compter du paiement » (Cass. 1ère civ. 29 oct. 2002, n°00-12.703).

Cette solution repose donc sur l’idée que, en ce que la subrogation est assise sur le paiement, c’est celui-ci qui constitue le fait générateur du droit de créance du subrogé.

En conséquence, il ne peut prétendre qu’aux intérêts au taux légal qui courent à compter de la date du paiement.

Cass. 1ère civ. 29 oct. 2002

Attendu que, par acte sous seing privé du 4 novembre 1986, le Crédit lyonnais a consenti à M. Dikran X… et à Mme Françoise X… un prêt de la somme de 200 000 francs, au taux effectif global de 12,33 % l’an, remboursable moyennant cent quatre vingt versements mensuels d’un montant de 2 442,96 francs, chacun ; que Mme Patricia X… s’est portée caution solidaire du remboursement de ce prêt par acte sous seing privé du 8 octobre 1986 comportant la mention manuscrite suivante : “lu et approuvé, bon pour caution solidaire de la somme de deux cent mille francs, plus les intérêts frais et accessoires” ;

qu’en conséquence de la défaillance des emprunteurs, le Crédit logement, qui s’était également porté caution solidaire du remboursement de ce même prêt, a payé le solde de celui-ci au Crédit lyonnais et a exercé un recours contre Mme Patricia X…, sur le fondement de quittances subrogatives des 3 janvier 1990 et 6 juillet 1992 ;

Mais sur le premier moyen, pris en sa seconde branche :

Vu les articles 1252 et 2033 du Code civil ;

Attendu, selon le premier des textes susvisés, que la subrogation est à la mesure du paiement ; que le subrogé ne peut prétendre, en outre, qu’aux intérêts produits au taux légal par la dette qu’il a acquittée, lesquels, en vertu du second, courent de plein droit à compter du paiement ;

Attendu que pour condamner Mme Patricia X…, à payer, pour sa part et portion, au Crédit logement les intérêts conventionnels de la dette cautionnée échus après la date des paiements faits par celui-ci au Crédit lyonnais, les juges du second degré ont retenu que le Crédit logement était conventionnellement subrogé dans les droits du Crédit lyonnais ; qu’en statuant ainsi, ils ont violé, par fausse application, les textes susvisés ;

PAR CES MOTIFS :

CASSE ET ANNULE, mais uniquement en ce qu’il a condamné Mme Patricia X… à payer au Crédit logement les intérêts au taux de 12,33 % calculés sur la somme de 120 496,43 francs à compter du 7 octobre 1994, l’arrêt rendu le 3 juin 1998, entre les parties, par la cour d’appel d’Agen ; remet, en conséquence, quant à ce, la cause et les parties dans l’état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d’appel de Bordeaux

L’ordonnance du 10 février 2016 a maintenu cette jurisprudence.

L’article 1346-4 du Code civil prévoit en ce sens que « le subrogé n’a droit qu’à l’intérêt légal à compter d’une mise en demeure, s’il n’a convenu avec le débiteur d’un nouvel intérêt. »

Toutefois, les intérêts commencent à courir, non pas à compter de la date du paiement comme affirmé en 2002 par la Cour de cassation, mais à partir de la mise en demeure adressée au débiteur.

Par ailleurs, le texte précise que « ces intérêts sont garantis par les sûretés attachées à la créance, dans les limites, lorsqu’elles ont été constituées par des tiers, de leurs engagements initiaux s’ils ne consentent à s’obliger au-delà. »

B) L’opposabilité de la subrogation

Il convient de distinguer le régime de l’opposabilité de la subrogation au débiteur de celui applicable à l’opposabilité aux tiers.

?L’opposabilité de la subrogation au débiteur

  • La date d’opposabilité
    • L’article 1346-5 distingue selon que la subrogation est invoquée par le créancier subrogé ou par le débiteur
      • La subrogation est invoquée par le débiteur
        • Dans cette hypothèse il peut invoquer la subrogation dès qu’il en a connaissance
        • Aucune démarche particulière ne doit être accomplie pour que le débiteur puisse se prévaloir de la subrogation
      • La subrogation est invoquée par le créancier subrogé
        • Dans cette hypothèse, il ne pourra opposer la subrogation au débiteur que si elle lui a été notifiée ou s’il en a pris acte.
        • Il faudra, autrement dit, que le subrogé parvienne à démontrer que la subrogation a été portée à la connaissance du débiteur pour qu’il puisse s’en prévaloir.
  • L’opposabilité des exceptions
    • L’article 1346-5 prévoit que le débiteur peut opposer au créancier subrogé deux sortes d’exceptions :
      • Les exceptions inhérentes à la dette, telles que la nullité, l’exception d’inexécution, la résolution ou la compensation de dettes connexes
      • Les exceptions nées de ses rapports avec le subrogeant avant que la subrogation lui soit devenue opposable, telles que l’octroi d’un terme, la remise de dette ou la compensation de dettes non connexes.
    • Le principe d’opposabilité des exceptions au subrogé repose sur l’idée que celui-ci ne saurait acquérir plus de droit que n’en avait le subrogeant.
    • Il est, dans ces conditions, logique que le débiteur puisse opposer au subrogé toutes les exceptions qu’il pouvait opposer au subrogeant.

?L’opposabilité de la subrogation aux tiers

L’article 1346-5 prévoir que « la subrogation est opposable aux tiers dès le paiement. »

Cette règle présente un intérêt en cas de concours de créanciers.

Ce n’est donc pas la date de notification de la quittance subrogative au débiteur dont il être tenu compte pour déterminer la date du transfert de la créance, mais bien la date du paiement.

La subrogation légale

Lorsque la subrogation est d’origine légale, elle est attachée, de plein droit, au paiement d’une dette par un tiers solvens lequel disposera ensuite d’un recours contre le débiteur.

Toutefois, le tiers solvens qui paie la dette d’autrui ne pourra se prévaloir de la subrogation qu’à la condition de répondre aux exigences posées par la loi.

À défaut, il devra supporter seul le poids de la dette, sans possibilité de se retourner contre le débiteur qui est alors totalement libéré de son obligation, alors même qu’il n’a rien réglé.

Tandis que les rédacteurs du Code civil avaient opté pour une énonciation exhaustive des cas de subrogation (V. en ce sens Cass. civ. 3 juill. 1854), lors de la réforme des obligations le législateur a fait montre de souplesse en refusant d’enfermer les cas de subrogation dans une liste.

Aussi, afin de mieux comprendre le sens et le contenu de la réforme convient-il, en premier lieu, de faire état du droit antérieur.

I) L’état du droit avant la réforme des obligations

L’ancien article 1251 du Code civil prévoyait 5 cas de subrogation légale :

  • Premier cas de subrogation
    • La subrogation joue « au profit de celui qui étant lui-même créancier paie un autre créancier qui lui est préférable à raison de ses privilèges ou hypothèques»
    • Cette hypothèse correspondant à la situation où plusieurs créanciers sont inscrits sur l’un des immeubles dont est propriétaire leur débiteur.
    • La valeur de cet immeuble est insuffisante pour les désintéresser tous, mais suffisante pour éteindre la créance du premier créancier inscrit.
    • Tandis que ce dernier a tout intérêt à réaliser sa sûreté, le créancier de rang subséquent peut craindre de ne rien toucher du produit de la vente du bien.
    • Au mieux, celui-ci peut espérer bénéficier d’une plus-value à venir de l’immeuble.
    • Pour ce faire, il aura tout intérêt à payer lui-même le créancier de rang supérieur en contrepartie de la créance privilégiée de celui-ci.
    • Le moment venu, soit lorsque la plus-value sera suffisante, il pourra, à son tour, réaliser son hypothèque de premier rang.
    • Cet intérêt que les créanciers de rang subséquent sont susceptibles de manifester est digne de considération, sans compter que cette situation incite à régler au plus vite le créancier privilégié afin de le dissuader de mettre en œuvre sa sûreté.
    • D’où l’ouverture par le législateur en 1804 d’un cas de subrogation légale au profit des créanciers de rang subséquent.
    • La jurisprudence avait toutefois estimé que la subrogation légale ne pouvait pas jouer dans l’hypothèse où l’accipiens était de rang égal ou inférieur au tiers solvens, ce qui a pu être regretté.
  • Deuxième cas de subrogation
    • La subrogation joue « au profit de l’acquéreur d’un immeuble, qui emploie le prix de son acquisition au paiement des créanciers auxquels cet héritage était hypothéqué»
    • Cette situation correspond à l’hypothèse d’un immeuble hypothéqué au bénéfice de plusieurs créanciers
    • Cet immeuble est néanmoins vendu à un tiers à un prix inférieur au montant du passif global
    • En raison du droit de suite conféré par l’hypothèque, l’acquéreur s’expose à un risque de saisie s’il règle sa dette entre les mains du vendeur.
    • Aussi, a-t-il plutôt intérêt à payer directement les créanciers dans l’ordre des inscriptions et à libérer son immeuble à due concurrence des sûretés qui le grèvent.
    • Il demeure cependant toujours exposé au risque de saisie par les créanciers non remplis de leurs droits.
    • Aussi, afin de le protéger de ce risque, le législateur lui ouvre le bénéfice de la subrogation légale, en ce sens qu’il va se subroger dans les droits des créanciers qu’il a désintéressés, de sorte que, en cas de saisie de l’immeuble, il primera sur les créanciers de rang subséquent quant à la perception du prix de vente de l’immeuble.
    • La subrogation dissuadera alors ces derniers d’engager une procédure de saisie
  • Troisième cas de subrogation
    • La subrogation joue « au profit de l’héritier bénéficiaire qui a payé de ses deniers les dettes de la succession. »
    • Cette hypothèse correspond à la situation où un héritier a accepté une succession à concurrence de l’actif net, soit sous bénéfice d’inventaire.
    • L’article 802 du Code civil institue une limite au droit de gage général des créanciers, en ce que les dettes de la succession ne seront pas exécutoires sur ses biens personnels.
    • En d’autres termes, l’héritier n’est tenu des dettes de la succession que dans la limite des biens qu’il reçoit.
    • Cependant, il peut avoir intérêt à payer les créanciers successoraux avec ses deniers personnels afin de faciliter la liquidation de la succession et, par exemple, éviter la vente forcée d’un bien.
    • C’est la raison pour laquelle la loi lui consent le bénéfice de la subrogation, afin qu’il puisse se faire rembourser auprès des cohéritiers.
  • Quatrième cas de subrogation
    • La subrogation joue « au profit de celui qui a payé de ses deniers les frais funéraires pour le compte de la succession. »
    • Ce nouveau cas de subrogation légale a été introduit par la loi n° 2006-728 du 23 juin 2006 portant réforme des successions et des libéralités.
    • Il vise à permettre au tiers solvens, qui a acquitté les frais funéraires avec ses propres deniers, de ses retourner contre les cohéritiers afin de se faire rembourser.
  • Cinquième cas de subrogation
    • La subrogation joue « au profit de celui qui, étant tenu avec d’autres ou pour d’autres au paiement de la dette, avait intérêt de l’acquitter».
    • Il s’agit là du cas de subrogation le plus large, ce d’autant plus que le législateur s’est appuyé sur ce cas pour énoncer un principe général.
      • Les hypothèses envisagées par le législateur
        • Elles sont au nombre de deux :
          • Celui qui est « tenu avec d’autres »
            • Il s’agit de l’hypothèse où des codébiteurs sont tenus à une obligation solidaire
            • Le créancier peut alors actionner en paiement chacun d’entre eux pour le tout
            • La loi permet à celui qui a réglé de se subroger dans les droits du créancier afin de se retourner contre ses codébiteurs
          • Celui qui est « tenu pour d’autres »
            • Il s’agit de l’hypothèse où une personne est le débiteur accessoire d’une obligation, tels la caution ou le donneur d’aval en matière cambiaire.
            • Dans l’hypothèse où le garant est actionné en paiement par le créancier, la lui permet, au moyen d’une subrogation, d’exercer un recours contre le débiteur principal
      • Le principe général dégagé par la jurisprudence
        • Il ressort de la lettre de l’ancien article 1251, 3° du Code civil que le législateur n’a pas envisagé consentir le bénéfice de la subrogation à celui qui a réglé une dette personnelle dont il est tenu envers le créancier.
        • Seules les personnes qui ont réglé une dette solidaire ou la dette d’un tiers sont susceptibles de se prévaloir de la subrogation.
        • Pourtant, il est un certain nombre de cas où lorsqu’un débiteur a payé une dette qui lui était personnelle, se profile un second débiteur qui, parce qu’il a tiré avantage de l’extinction de l’obligation, doit assurer la charge définitive de la dette.
        • Il s’agit notamment du cas de l’assureur de dommages.
        • Par son paiement, il libère le tiers responsable ou coresponsable sur qui doit peser totalement ou partiellement la charge définitive de la dette.
        • Aussi, afin de lui permettre d’exercer un recours, la jurisprudence, puis le législateur, lui ont ouvert le droit de se subroger dans les droits de son assuré.
        • Le lien avec l’idée d’un tiers solvens tenu avec d’autres ou pour d’autres, en somme le lien avec la dette d’autrui, se retrouve et l’esprit du texte est préservé.
        • Le principe général posé par la jurisprudence a été consacré en dehors du Code civil par des textes spéciaux.
          • Le recours de l’assureur
            • L’article L. 121-12 du Code des assurances dispose que « l’assureur qui a payé l’indemnité d’assurance est subrogé, jusqu’à concurrence de cette indemnité, dans les droits et actions de l’assuré contre les tiers qui, par leur fait, ont causé le dommage ayant donné lieu à la responsabilité de l’assureur. »
          • Le recours du tiers payeur
            • Le législateur a institué une liste de tiers payeurs ayant versé des prestations à la victime d’un dommage corporel, quelle que soit la nature de l’événement ayant occasionné ce dommage
            • Y figurent les Caisses de sécurité sociale et les établissements et services gérant un régime obligatoire de sécurité sociale (EDF, SNCF, RATP).
            • Ces derniers bénéficient d’un recours subrogatoire contre l’auteur du dommage dont est victime leur affilié.

II) L’état du droit positif

==> L’élargissement du domaine d’application de la subrogation légale

Lors de l’adoption de la réforme des obligations, le législateur a entendu rénover les règles relatives à la subrogation personnelle.

Dans cette perspective, l’ordonne du 10 février 2016 a élargi le champ d’application de la subrogation légale en abolissant la liste – à l’origine exhaustive – des cas de subrogation légale prévus à l’ancien article 1251 du Code civil.

Ainsi, dépassant les hypothèses spécifiques figurant aujourd’hui dans le code civil ainsi que dans divers textes spéciaux, le bénéfice de la subrogation légale est généralisé.

Le nouvel article 1346 du Code civil prévoit en ce sens que « la subrogation a lieu par le seul effet de la loi au profit de celui qui, y ayant un intérêt légitime, paie dès lors que son paiement libère envers le créancier celui sur qui doit peser la charge définitive de tout ou partie de la dette. »

Cet élargissement du domaine d’application de la subrogation légale vise à entériner la jurisprudence qui, à partir de l’article 1251, avait dégagé un principe général.

==> L’exigence d’un intérêt légitime

Le bénéfice de la subrogation légale n’est pas sans condition.

L’article 1346 exige que le tiers solvens, pour bénéficier de la subrogation, justifie d’un intérêt légitime.

L’exigence de cet intérêt au paiement permet d’éviter qu’un tiers totalement étranger à la dette et qui serait mal intentionné (dans des relations de concurrence par exemple) puisse bénéficier de la subrogation légale.

Il ne faudrait pas, en effet, que ce tiers puisse, par le jeu de la subrogation, s’ingérer dans les affaires du débiteur et l’actionner en paiement pour lui nuire.

Reste à savoir ce que l’on doit entendre par intérêt légitime.

  • D’une part, cette notion vise tous les anciens cas de subrogation légale prévus par l’ancien article 1251 du Code civil
  • D’autre part, la notion d’intérêt légitime permet d’envisager que le cas où un débiteur a payé une dette qui lui était personnelle, tandis que se profile en arrière-plan un second débiteur qui, parce qu’il a tiré avantage de l’extinction de l’obligation, doit assurer la charge définitive de la dette.
  • Enfin, la notion d’intérêt peut être envisagée négativement en déniant à un tiers qui poursuivrait un but illégitime, et plus généralement qui serait de mauvaise foi, le bénéfice de la subrogation légale