Quelles sont les règles du jeu ?
Consentement, intérêt légitime, obligation réglementaire ou encore exécution d’un contrat. À chaque nouveau traitement dans une entreprise la même question se pose. Quelle base légale doit-on choisir ? Cette question est loin d’être anodine car elle détermine la licéité du traitement.
Des lignes directrices publiées par le CEPD le 8 octobre dernier nous permettent d’y voir plus clair pour ce qui concerne l’article 6(1)(b) du RGPD : le traitement de données personnelle se fondant sur l’exécution d’un contrat.
Se fonder sur un contrat nécessite… un contrat !
C’est somme toute logique mais si le CEPD le rappelle ce n’est pas par hasard. Pour se fonder sur l’exécution d’un contrat il faut qu’un contrat existe dans le Droit du pays juridiquement compétent.
Attention donc aux contrats conclus avec des personnes vulnérables, des enfants ou encore à ceux qui créent un déséquilibre significatif entre les parties car leur annulation entrainerait automatiquement l’illicéité des traitements qui y sont adossés.
Quand peut-on fonder son traitement sur l’exécution d’un contrat ?
Cette base légale doit être choisie dans tous les cas où un traitement de données est nécessaire à l’exécution d’un contrat. Si tel est le ca, il faut privilégier ce fondement à tous les autres, y compris celui du consentement.
Les lignes directrices vont plus loin. La personne concernée ne doit avoir aucun doute sur la base légale utilisée et ne doit pas penser que le traitement se fonde sur son consentement si ce n’est pas le cas. Dans le cas d’une exécution contractuelle il vaut donc mieux éviter les cases à cocher « je consens à l'utilisation de mes données ».
Déterminer si un traitement est nécessaire au contrat
Pour s’assurer qu’un traitement de données soit effectivement nécessaire à votre contrat, le CEPD propose de se poser les questions suivantes :
Le CEPD précise qu’il faut se poser ces questions en considérant, non seulement le point de vue de la société qui propose le service, mais aussi celui d’une personne concernée raisonnable.
Un traitement de données nécessaire au contrat est un traitement qui permet d'atteindre le but poursuivi contractuellement tout en étant le moins intrusif possible. S’il existe un autre moyen de réaliser le traitement en étant moins intrusif, il faut donc privilégier cette dernière solution.
Le responsable de traitement doit clairement indiquer en quoi les données collectées sont nécessaires pour exécuter le dit contrat. Les lignes directrices prohibent les finalités trop vagues (comme pour améliorer l'expérience utilisateur, pour des besoins de sécurité, pour améliorer le service, pour proposer de la publicité ciblée, etc.).
Il n’est en revanche pas interdit d’adosser au contrat des traitements qui ne sont pas strictement nécessaires mais qui participent de la relation contractuelle. Il faudra simplement se fonder sur une autre base légale de l’article 6 du RGPD. C’est le cas pour les enquêtes de satisfaction ou les communications sur l’évolution du service.
Enfin, le CEPD indique que certains traitements sont par nature considérés comme nécessaires au contrat. Il s’agit par exemple des services après-vente, de la gestion des garanties, des relances pour paiement, des communications informant d’erreurs ou de retards.
Grant Thornton utilise des cookies pour effectuer des mesures d’audience et améliorer votre navigation.
Pour en savoir plus sur l'utilisation des cookies et comment les supprimer, veuillez consulter nos règles de confidentialité.
