[data] RGPD-GDPR —> les traitements SANS consentement « nécessaires aux intérêts légitimes » (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 13 juin 2017] Vous avez intégré la distinction entre traitement de données [personnelles] AVEC consentement préalable et traitement SANS consentement. La distinction est assez importante pour que le RGPD-GDPR prévoit 5 hypothèses distinctes de traitements SANS consentement. C’est dans cette seconde catégorie que se trouvent les « (v) traitements nécessaires aux fins des intérêts légitimes » du responsable du traitement. Ce sont les « considérant » du RGPD-GDPR qui prévoient que l’on peut utiliser cette « base juridique » pour justifier du traitement des données de ses « clients », de ses « prospects » et de ses salariés

L’importance pratique de cette 5° modalité (dans l’ordre du texte du RGPD-GDPR) mérite à elle seule une présentation récapitulative des droits et obligations des entreprises sur le sujet, non ?



 

Les « intérêts légitimes » du responsable du traitement ?

 

Toute entreprise/organisme peut collecter et traiter des données personnelles sans le consentement des personnes concernées si elle prouve agir dans le cadre de ses « intérêts légitimes« .

Une entreprise de l’industrie du numérique (du monde en ligne) pourrait avoir un intérêt légitime à traiter, à son profit personnel (les termes sont choisis) les données personnelles de ses « clients/prospects » ? SANS le consentement de ces « clients/prospects » ? Ne cherchez pas trop, les « considérant » RGPD-GDPR nous disent que OUI.

Bon.

Est donc licite un traitement de données SANS demande de consentement « aux fins des intérêts légitimes » du responsable de traitement.

Bien.

Mais quels sont donc ces fameux « intérêts légitimes » d’une entreprise de l’industrie du numérique (du monde du service accessible en ligne, depuis un smartphone ou un ordinateur) ?

Si moi, prestataire online (par exemple et toujours au hasard moteur de recherche ou réseau social), je te propose online un service gratuit, mon intérêt légitime en contrepartie peut alors être de traiter tes données.

Tiens, c’est drôle, cette notion de « contrepartie » au contrat est parfaitement intégrée dans la réforme du Code civil, vous savez, celle du 10 février 2016 (quoi ? vous avez déjà oublié ?). C’est d’ailleurs un des critères du contrat « synallagmatique », contrat « d’adhésion » ou de « gré à gré« .

Les articles de la GDPR ne donnent aucun critère sur l’interprétation de la notion « d‘intérêts légitimes« , il est nécessaire d’aller lire les « considérant » pour comprendre. Et, là encore, pas de définition, mais des exemples (c’est le fameux pragmatisme juridique à l’anglo-saxonne qui nous déroute parfois, nous, les « continentaux ». C’est ça en pratique la common law législative..) : une entreprise « pourrait » (traduire : peut) utiliser la « base juridique » des « intérêts légitimes » pour fonder juridiquement le traitement des données de ses clients, de ses prospects et de ses salariés (considérant n°47).

Il appartient pour cela au responsable de traitement de se demander « si une personne concernée peut raisonnablement s’attendre » à ce que [ses données] fassent l’objet d’un traitement à une fin donnée (encore le « considérant » n°47).

Mais ce ne sont que des exemples, libre à l’entreprise d’argumenter pour justifier de l’existence de ses « intérêts légitimes » primant sur les droits GDPR des personnes concernées (accès / rectification / oubli / limitation / notification, opposition à prospection / profilage et décisions automatisées, enfin droit à portabilité (un grand merci à Tristan Nitot).

« Ah, oui, j’oubliais… » comme vous le rappelle parfois le personnage de « Horologiom ». Parmi les « intérêts légitimes » de l’entreprise, les « considérant » évoquent en plus (i) l’intérêt intra-groupe de sociétés pour les données clients et celles des salariés du groupe, ainsi que (ii) la « sécurité du réseau et des informations » de l’entreprise. Ben oui, sur ce dernier point : je vous rappelle la nouvelle obligation de sécurisation des traitements de données (à la charge des responsables de traitement) ?

« intérêts légitimes » vs « intérêts légitimes et impérieux » ?

Vous doutiez encore que la GDPR soit effectivement un texte de consensus entre 28 pays ? Les imperfections de rédaction y sont nombreuses (c’est presque normal dans un texte aussi long et détaillé). A ce titre, la GDPR évoque tantôt les « intérêts légitimes« , tantôt les « intérêts légitimes et impérieux » des responsables de traitements.

Si l’on veut bien prendre le temps de lire toute la GDPR et de mettre les articles en perspective les uns avec les autres, à mon sens, ces deux notions n’en forment qu’une.

L’obligation d’information sur la « base juridique » du traitement 

Comme pour tous les autres traitements, AVEC ou SANS consentement, l’entreprise est tenue d’informer la personne dont elle traite les données du fondement juridique qu’elle retient (les « bases juridiques » du traitement). C’est le principe de transparence de l’article 12 GDPR avec ses corollaires pratiques, les articles 13 (collecte directe) et 14 GDPR (collecte indirecte).

Ce qui vaut donc lorsque les données sont traitées « aux fins des intérêts légitimes » de l’entreprise « data controller« .

Si votre entreprise choisit de traiter des données SANS consentement, il va falloir l’écrire aux internautes, aux users, aux « personnes concernées ». Oui, ce sera juridiquement obligatoire, et tout non-respect sera sanctionné au format « 20 millions / 4% CA ».

En terme d’image de marque, à une époque où les considérations éthiques se multiplient (en France, franc succès avec la Loi Sapin 2), ce choix de « bases juridiques » pour un traitement sera à terme sans doute parfois un peu difficile à faire passer, mais bon… Quoi qu’il en soit, le choix de cette « base juridique » n’est pas neutre car il entraine mécaniquement d’importantes conséquences spécifiques.

Pardon d’insister sur ce point mais soyons pragmatique : le non respect de cette obligation sera facile à établir (à prouver) par la CNIL. Il suffira de faire des constats en ligne en créant un profit dans le service. depuis les locaux de la CNIL, donc (ou depuis n’importe quel autre pays de l’Union Européenne).

Vous me pardonnez d’avoir insisté ?

« Intérêts légitimes » et droit d’opposition spécial

La GDPR prévoit un droit général d’opposition à traitement lorsque les données traitées visent à faire de la prospection commerciale et du profilage.

La GDPR prévoit par ailleurs un droit spécial d’opposition pour les traitements « aux fins des intérêts légitimes » du responsable du traitement. Ce droit spécial prévoit :

  • une obligation pour la personne exerçant son droit  « spécial » d’opposition de justifier sa demande d’opposition au regard de son cas particulier . On comprend mal pourquoi, mais bon… (oh, ce doux parfum de lobbying…) ;
  • une dérogation au respect du droit d’usage sur les données [personnelles] : là où le droit général d’opposition impose au responsable du traitement de cesser le traitement à des fins de prospection/profilage des données de la personne qui exerce son droit d’opposition à prospection/profilage (article 21), la GDPR permet dans cette hypothèse très précise (et elle seule) de conserver – malgré l’opposition – les données traitées à des fins de prospection/profilage. 

Ce « traitement » spécial du droit à opposition à des fins de profilage et de prospection commerciale se comprend lorsque on écoute le représentant de Microsoft expliquer à un parlementaire européen que « les entreprises ont elles aussi des droits » sur les données de leurs clients. Je n’invente rien, allez regarder « Democracy : la ruée vers les datas« . L’extrait ne dure que quelques secondes mais est très éclairant sur la réalité de ce que les GAFA disent du droit des entreprises du service online sur les données  [personnelles] de… de qui ? de leurs clients/prospects of course (qui d’autres ?).

A titre personnel, j’en pense que ce droit spécial à traiter des données SANS consentement est condamné dans le temps, tant il va à l’encontre de la philosophie générale de cette législation, dont la Cour de Justice de l’UE ne cesse d’élargir le champs vers plus de protection effective pour les personnes dont les données sont traitées. Vous pouvez aussi considérer que je suis un optimiste « décentré des réalités factuelles » (expression chère à un de mes Confrères qui ne parle plus que du droit des robots)…

« à moins que ne prévale [la] protection des données [personnelles] de l’enfant »

En version intégrale : « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données [personnelles], notamment lorsque  la personne concernée est un enfant« .

En clair, moi, je comprends que JAMAIS les « intérêts légitimes » des entreprises ne permettent de collecter SANS consentement lorsque la « personne concernée » est un « enfant« .

Un juriste de droit français aurait traduit le terme « enfant » par « mineur« . Mais pour la GDPR, un consentement en ligne est valable à partir de 16 ans. Et les Etats membres de l’UE peut durcir le consentement par des dispositions spéciales si « l’enfant » a entre 13 et 16 ans. [la loi française dite « CNIL V3 » du 14 mai 2018 a retenu 15 ans pour la France]

Ici, je vous le rappelle, on traite d’un droit à collecter des données SANS consentement. Cette « base juridique » ne serait alors pas applicable pour collecter des données de personnes de moins de 16 ans ? ça semble une interprétation logique du principe.

« Intérêts légitimes » et droit à limitation

Ce « droit à limitation » (art.19 GDPR) est en fait principalement destiné à permettre la contestation par les personnes dont les données sont traitées du droit des entreprises à traitement « aux fins de [leurs] intérêts légitimes« .

La démarche est la suivante.

Toi, responsable du traitement, tu t’autorises unilatéralement à traiter mes données SANS mon consentement, puisque tu estimes que ton « droit à traitement » prévaut sur mes « droits et libertés » garantis par la GDPR. Mais si moi, dont tu traites les données, je conteste ton « intérêt légitime », alors, toi entreprise, tu dois « geler » le traitement de mes données jusqu’à ce que soit arbitré ce conflit. Par qui et comment ? Pendant combien de temps ? Aucune réponse spécifique sur ce point dans la GDPR. Ne me posez plus la question : c’est la jurisprudence qui tranchera. Au niveau de l’UE, c’est certain. Prévoyez un délai avant d’obtenir une réponse qui ne fera plus de doute…

« Intérêts légitimes » et « traitements à grande échelle »

Les traitements à grande échelle ? Ce sont les traitement potentiellement soumis à l’obligation de réaliser une analyse d’impact (ou « Privacy Impact Assessment« ). Ce chapitre de la GDPR est particulièrement éclairant sur notre problématique dans la mesure où (i) est expressément visée la notion « d’intérêts légitime et impérieux » du « data controller » et (ii) apparait en balance du droit à traitement SANS consentement la notion « d’intérêts légitimes des personnes concernées« . Je vous en reparle quelques lignes plus bas.

« Intérêts légitimes » et transferts de données HORS UE 

Les règles encadrant les transferts de données HORS UE sont plus strictes avec la GDPR qu’avec (feu) la Directive 95/46. Si 5 modalités principales de transferts de données HORS UE méritent qu’on s’y attarde un peu, la sixième et dernière modalité de transfert vise, dans une combinaison d’hypothèses extrêmement restrictive, « l’intérêt légitime et impérieux » du responsable de traitement.

Plus je relis le texte de la GDPR et ses « considérant », plus je crois que « intérêts légitimes » et « intérêts légitimes et impérieux » sont en réalité une seule et même notion.

BONUS : les « intérêts légitimes » des personnes concernées

En relisant attentivement la GDPR, on retrouve à plusieurs reprises la notion « d’intérêts légitimes » mais coté « personnes concernées ».

Déjà, la notion visée ci-dessus de « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données [personnelles], notamment lorsque  la personne concernée est un enfant ». Ah non, zut, pas les « intérêts légitimes« … Juste les « intérêts » tout court. Franchement, il est douteux que les « intérêts illégitimes » d’une personne puissent prévaloir sur les « intérêts légitimes » d’une entreprise.

Alors, les « intérêts » d’une personne dont on traite les données, ce sont aussi des « intérêts légitimes » ? Voila qui ne va pas nous simplifier le travail…

Vous pouvez jouer la montre et attendre un hypothétique arrêt de la CJUE dans 3 ou 4 ans. Certains le font déjà. Là encore, c’est bien en termes de risques que chaque entreprise devra interpréter ce critère. 

GDPR synthèse et audit

Pour vous y retrouver… car, je sais, ça fait beaucoup à digérer… Alors, en cliquant sur le lien qui suit, vous accéderez à une synthèse de la GDPR en forme d’audit