A quelles conditions mettre en œuvre un traitement portant sur des données personnelles ?

Publié le par - 0 vues

Il n’est pas question d’envisager la collecte (le traitement) de données personnelles sans respecter un minimum de contraintes, issues de la directive de 1995 transposée de longue date dans les droits nationaux. Nous faisons le point sur ces conditions.

Le principe de finalité

Vous avez la possibilité de mettre la main sur un super fichier et vous vous dites « pourquoi pas, j’en ferai toujours bien quelque chose plus tard ». Pouvez-vous l’enregistrer et le garder sous la main, quitte à voir ultérieurement en quoi il peut vous aider ?

La réponse est non.

Selon la directive, les données doivent « être collectées pour des finalités déterminées, explicites et légitimes. » Ce principe a été repris fidèlement tant en France qu’en Belgique.

Une fois que vous avez arrêté une finalité, encore faut-il que les données dont vous envisagez le traitement soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. » Inutile par exemple de demander la composition de famille pour acheter un iPad en ligne. Ce serait probablement non-adéquat et/ou non-pertinent et/ou excessif par rapport à la finalité.

Autre situation. Vous avez un super fichier de clients sous la main, constitué légalement il y a trois ans, et vous lancez un nouveau produit. Pouvez-vous le réutiliser ?

La réponse est peut-être.

Après avoir dit que les données doivent « être collectées pour des finalités déterminées, explicites et légitimes », la directive précise qu’elles ne peuvent « pas être traitées ultérieurement de manière incompatible avec ces finalités. » Tout est donc question d’appréciation, de cas par cas.

Le principe de légalité

Bravo, vous avez passé avec succès le test de finalité et vous vous dites : « maintenant je peux y aller ».

Non, vous devez encore passer un autre test (il s’agit d’une condition cumulative avec le principe de finalité). Ce deuxième test, appelé principe de légalité, signifie que vous devez vous trouver dans un des six hypothèses dans lesquelles la loi vous autorise à mettre en œuvre le traitement.

Telle est la portée de l’article 7 de la directive selon lequel le traitement de données à caractère personnel ne peut être effectué que si :

a)      la personne concernée a indubitablement donné son consentement, ou

b)      il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou

c)       il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou

d)      il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou

e)      il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées, ou

f)       il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.

Le consentement retient tout d’abord notre attention. Il s’agit de « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ». il faut donc que la démarche soit libre, spécifique et informée.

L’hypothèse f) a donné lieu à un intéressant arrêt de la cour de justice de l’union européenne (affaires C‑468/10 et C‑469/10).

C’est que la loi espagnole avait repris le paragraphe ci-dessus, en y ajoutant en outre que « lesdites données figurent dans des sources accessibles au public », ce qui restreignait considérablement la portée de cette disposition.

D’où une question préjudicielle, visant à savoir si l’article 7, sous f), « doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public. »

Le doute était permis car si la directive vise à rendre équivalent dans tous les États membres le niveau de protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel, son dixième considérant ajoute que « le rapprochement des législations nationales applicables en la matière ne doit pas conduire à affaiblir la protection qu’elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans l’Union. » Certains pensaient que cette précision crée la possibilité pour les Etats de protéger plus fort les données, par exemple en limitant la portée de l’article 7, f).

La CJUE n’est pas d’accord : « les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel à l’article 7 de la directive 95/46 ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article. »

La CJUE n’est toutefois pas insensible au fait que l’hypothèse f) est particulière car elle instaure ce que l’on appelle une balance des intérêts, forcément subjective et floue :  «  il convient de tenir compte du fait que la seconde de ces conditions nécessite une pondération des droits et intérêts opposés en cause ».

Le fait qu’une balance des intérêts, forcément subjective, soit créée, permet-il aux Etats de retrouver une marge de liberté ?

La Cour relève que « rien ne s’oppose à ce que, dans l’exercice de leur marge d’appréciation consacrée à l’article 5 de la directive 95/46, les États membres établissent des principes directeurs pour ladite pondération. »

Mais attention, « marge d’appréciation » ne signifie pas nouvelle condition : « il ne s’agit plus d’une précision au sens dudit article 5 si une réglementation nationale exclut pour certaines catégories de données à caractère personnel la possibilité d’être traitées en prescrivant, pour ces catégories, de manière définitive le résultat de la pondération des droits et intérêts opposés, sans permettre un résultat différent en raison de circonstances particulières d’un cas concret. »

La CJUE confirme donc l’ajout espagnol est incompatible avec la directive.

La CJUE devait aussi dire si l’article 7, sous f), a un effet direct.

Selon une jurisprudence constante de la Cour, dans tous les cas où les dispositions d’une directive apparaissent, du point de vue de leur contenu, inconditionnelles et suffisamment précises, les particuliers sont fondés à les invoquer devant les juridictions nationales à l’encontre de l’État, soit lorsque celui-ci s’est abstenu de transposer dans les délais la directive en droit national, soit lorsqu’il en a fait une transposition incorrecte.

Pour la Cour, « Force est de constater que l’article 7, sous f), de la directive 95/46 est une disposition suffisamment précise pour être invoquée par un particulier et appliquée par les juridictions nationales. En outre, si la directive 95/46 comporte indéniablement, pour les États membres, une marge d’appréciation plus ou moins importante pour la mise en œuvre de certaines de ses dispositions, ledit article 7, sous f), quant à lui, énonce une obligation inconditionnelle. »

Autres conditions

Sans entrer dans les détails, signalons encore que :

  1. Préalablement à la mise en œuvre d’un quelconque traitement (en ce compris la collecte) de données à caractère personnel, le responsable du traitement doit le plus souvent en faire la déclaration auprès de l’autorité de protection des données personnelles.
  2. Le traitement doit être loyal. Cette exigence de loyauté implique notamment une transparence vis-à-vis de la personne concernée quant à la finalité du traitement mais également quant à l’existence même de ce traitement. En outre, loi prévoit que le responsable du traitement ou son représentant doit fournir de nombreuses informations aux personnes concernées par les traitements. Il n’est donc pas question de traitements réalisés à l’insu des utilisateurs. En général, sur les sites web collectant les données de la personne même, il est satisfait à ces exigences grâce à la charte vie privée.
  3. La loi prévoit de nombreuses obligations incombant au responsable du traitement. Notamment : veiller à la qualité des données traitées, à leur exactitude et, si nécessaires, à leur mises à jour ; veiller à la confidentialité des données traitées ; veiller à la sécurité des données traitées ; veiller à l’effacement des données traitées ; veiller à l’information des personnes concernées ; veiller au respect du respect de la finalité du traitement.
  4. La loi accorde des droits aux personnes concernées. Il faudra veiller à mettre en place des structures ad hoc pour les respecter. Notamment : le droit d’accès et de communication des données ; le droit de rectification ; le droit d’opposition.
  5. L’article 21 de la loi prévoit que le transfert de données à caractère personnel faisant l’objet d’un traitement après leur transfert vers un pays non-membre de l’Union européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions de la présente loi et de ses arrêtés d’exécution. J’ignore si des données sont destinées à être transférées vers des pays-tiers.
  6. La directive de 2002 sur la vie privée dans le secteur des communications électroniques a créé certaines règles spécifiques qui  pourraient avoir une importance en fonction de la technologie retenue pour exercer le contrôle. On songe par exemple aux cookies, qui suivent un régime réglementé.
  7. Certaines données dites sensibles, sont soumises à des régimes plus stricts (santé, sexe, religion, etc.)
Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK