RGPD et licéité du traitement : le choix de la base légale

Mai 18, 2021RGPD

}

Temps de lecture : 6 minutes

Accompagner de façon adaptée les personnes fragiles, rémunérer les salariés, gérer la comptabilité de votre établissement ou encore échanger des informations entre institutions constituent des exemples d’actions réalisées au sein de vos établissements et services. Derrières ces actions, il va y avoir des traitements de données personnelles et donc la nécessité d’appliquer le RGPD. Ces objectifs déterminés doivent être compatibles avec les missions de vos établissements et services. Ils doivent être clairs et compréhensibles de tous. Leur poursuite répond à des fondements juridiques : les bases légales du traitement.  

Durant ces derniers mois, le Cabinet ACCENS Avocats a fait un travail de fond pour analyser les finalités des traitements les plus fréquemment rencontrés dans vos établissements et services afin de déterminer pour chacune d’elle le fondement juridique et la durée de conservation des données notamment.

En outre, nous avons été amenés à de nombreuses questions relatives à la base légale de vos traitements.

Voici quelques éléments vous permettant une meilleure compréhension.


Pourquoi s’interroger sur la base légale de vos traitements de données ?

Le RGPD prévoit que tout traitement de données doit être « licite » : pour pouvoir légalement être mis en œuvre, il doit donc se fonder sur une des 6 bases légales prévues par le RGPD (article 6 – Licéité du traitement).


Qui détermine la base légale ?

Il appartient au responsable de traitement de déterminer une base légale avant toute opération de traitement. En effet, ce choix intervient après avoir mené une réflexion au regard de la situation spécifique et du contexte.

En pratique, lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.Si les conditions propres à la base légale envisagée ne sont pas remplies, le responsable de traitement de votre établissement ou service doit modifier les paramètres de son traitement de données pour parvenir à les respecter ou rechercher une autre base légale.

Ensuite, il est essentiel de voir mentionner la base légale de chacune de vos finalités répertoriées dans le registre des activités des traitements pour documenter votre mise en conformité.

Enfin, la base légale choisie fait partie des informations devant être portées à la connaissance des personnes concernées car elle a un impact sur l’exercice des droits des personnes concernées. En effet, les différentes bases légales n’ont pas les mêmes conséquences sur les droits des personnes dont les données sont traitées. Par exemple : le droit à la portabilité ne peut s’exercer qu’à l’égard de traitements dont la base légale est le consentement ou le contrat tandis que le droit d’opposition n’est, pour sa part, pas applicable aux traitements fondés sur l’obligation légale.


Quelles sont les bases légales du traitement des données à caractère personnel ?

Synthétiquement, pour chacune de vos finalités, il s’agit de garantir alternativement :

  • L’exécution du contrat,
  • L’obligation légale,
  • L’exécution d’une mission d’intérêt public,
  • L’intérêt vital,
  • L’intérêt légitime ou
  • Le consentement

Précisons ces bases légales.

> L’exécution du contrat

Le traitement est considéré comme légal lorsqu’il est nécessaire à l’exécution d’un contrat ou à la préparation d’un contrat avec la personne concernée (mesures précontractuelles dans le cadre d’un recrutement, par exemple).

Exemple : établissement des rémunérations, mise à disposition des bulletins de salaire (exécution du contrat de travail).

> L’obligation légale

Le traitement est considéré comme licite lorsqu’il est effectué conformément à des textes légaux auxquels le responsable de traitement est soumis. Dans ces cas, l’obligation légale provient d’une législation européenne ou d’une législation de l’Etat membre dont dépend le responsable de traitement.

Exemple : traitement des données relative à la remontée des informations préalablement anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux dispositions des articles R. 331-8 et suivants du CASF.

> L’exécution d’une mission d’intérêt public

Le traitement est licite s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

Exemple : traitement des données relatives au suivi des jeunes placés par l’ASE.

> L’intérêt vital

Le traitement est considéré licite s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers. Selon le régulateur européen, l’expression « intérêt vital » semble limiter l’application de ce motif à des questions de vie ou de mort ou à des menaces qui comportent un risque de blessure ou une autre atteinte à la santé de la personne concernée ou d’un tiers. Ce traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.

Exemple : traitements de données à des fins humanitaires

> L’intérêt légitime

Le traitement est licite s’il est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers dans le strict respect des droits et intérêts des personnes dont les données sont traitées.

Autrement dit, le RGPD impose un critère de mise en balance pour déterminer si ce fondement peut justifier le traitement entre :

  • L’intérêt légitime poursuivi par le responsable du traitement ou par des tiers (intérêt économique, prévention de le fraude, sécurité etc.)
  • L’intérêt ou les droits et libertés fondamentales de la personne concernée (vie privée, atteinte à la réputation etc.).

Si le traitement porte une atteinte excessive aux droits et libertés des personnes, l’intérêt légitime ne pourra fonder légalement sa mise en œuvre. Il incombe au responsable de traitement de démontrer que ses intérêt légitimes prévalent sur ceux de la personne concernée.

Exemple : traitements liés à l’accompagnement social et médico-social adapté aux difficultés rencontrées ayant notamment pour objet d’élaborer un projet personnalisé d’accompagnement, d’assurer le suivi des personnes dans l’accès aux droits et, le cas échéant, d’orienter les personnes vers les structures compétentes susceptibles de les prendre en charge

> Le consentement

Le consentement doit porter sur une ou plusieurs finalités spécifiques : une finalité exprimée de manière générale ne peut pas être fondée sur le consentement. Le RGPD définit strictement les conditions de validité du consentement en le définissant comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Exemple : consentement des salariés pour l’utilisation de leur photographie dans le cadre d’un réseau social interne

Vous avez connaissance des bases légales concernant la plupart de vos traitements mais à présent, avec l’entrée en vigueur du RGPD, il sera essentiel de les documenter sur le registre des activités de traitement et d’en informer les personnes concernées.


Quelle base légale est la plus adaptée au secteur médico-social ?

Récemment publié par la CNIL, le référentiel relatif aux traitements de données personnelles pour le suivi social et médico-social des personnes âgées, en situation de handicap ou en difficulté vous aide à identifier les bases légales susceptibles d’être utilisées dans les situations les plus courantes. Ce référentiel est directement disponible sur le site de la CNIL (cf. Page 7 et suivantes). Par exemple, échanger et partager des informations strictement nécessaires permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux est uniquement possible si cet objectif repose sur l’intérêt légitime de votre organisme privé.

De plus, vos établissements et services sont susceptibles de traiter des données dites « sensibles » au sens de l’article 9 du RGPD. Par principe, le traitement des données sensibles est interdit mais le RGPD prévoit plusieurs exceptions à cette interdiction, par exemple :

  • si la personne concernée a donné son consentement exprès ;
  • si elles sont nécessaires à la sauvegarde de la vie humaine ;
  • si leur utilisation est justifiée par l’intérêt public ;

Ces exceptions peuvent uniquement être mobilisées pour déroger au principe d’interdiction du traitement de ces données. Elles ne constituent pas la « base légale » du traitement mis en œuvre.

Concrètement, une continuité pourra être recherchée entre les deux catégories de dispositions (exception et base légale), sans pour autant être systématiquement nécessaire. Par exemple, un traitement fondé sur le consentement des personnes pourra facilement mobiliser l’exception du consentement exprès pour permettre le traitement de données sensibles.

Il vous appartient d’anticiper ces questions afin de connaitre, pour chaque traitement, la base légale qui justifie ledit traitement ainsi que les obligations et conséquences qui en découlent.

Toute l’équipe du Cabinet ACCENS Avocats se tient à votre disposition pour vous accompagner dans la mise en œuvre du RGPD et pour toutes informations supplémentaires.

Ces articles pourraient vous intéresser