Votre organisme collecte certainement des données : celles de vos salariés, de vos clients, celles issues de votre site web… Sur quels fondements est-ce possible? Le RGPD énumère les hypothèses dans lesquelles vous pouvez effectuer un traitement de données à caractère personnel. Explications pour se conformer au RGPD.
L’obligation d’informer la personne sur la base légale pour se conformer au RGPD
Le RGPD prévoit six bases légales pour un traitement licite des données. Les entreprises doivent communiquer aux personnes concernées sur quelle base légale repose le traitement de leurs données. Il faut donc anticiper la question afin de connaitre, pour chaque traitement, la base légale qui justifie ledit traitement ainsi que le régime applicable qui en découlent.
Définir la finalité du traitement pour se conformer au RGPD
Le consentement de la personne n’est pas toujours requis avec le RGPD. Le RGPD considère notamment que sera licite un traitement nécessaire “à l’exécution d’un contrat auquel la personne concernée est partie“, “au respect d’une obligation légale“, “à la sauvegarde des intérêts vitaux de la personne concernée“, “à l’exécution d’une mission d’intérêt public” ou encore “aux fins des intérêts légitimes poursuivis par le responsable du traitement“.
Les bases légales se passant du consentement
1. L’exécution d’un contrat
Le traitement est licite quand il entre dans le cadre d’un contrat ou de ses négociations et qu’il est nécessaire à son exécution. Par exemple : le traitement des données de salariés pour procéder à la paye de ces derniers.
2. L’obligation légale
Le traitement est licite quand il est effectué conformément à une obligation légale de l’État membre de l’UE, une législation européenne ou certains traités internationaux. Par exemple : l’obligation de l’employeur de traiter des données sur les rémunérations des employés pour les adresser à la sécurité sociale.
3. L’exécution d’une mission d’intérêt public
Le traitement est licite quand il est effectué en vue d’une mission d’intérêt public où qui relève de l’exercice de l’autorité publique. Par exemple : le traitement des revenues par les impôts.
4. L’intérêt vital
Le traitement est licite quand il permet d’éviter une atteinte à la vie de la personne concernée ou un risque pour sa santé (proportionné avec son droit au respect à la vie privée). Par exemple : un psychiatre peut traiter les données relatives à la santé de ses clients.
5. L’intérêt légitime
Le traitement peut être licite s’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement. Ces objectifs ne doivent pas porter atteinte aux intérêts, aux droits et aux libertés de la personne concernée.
La dernière possibilité pour se conformer au RGPD : le consentement de la personne concernée
Si aucune des six bases légales ne permet pas le traitement, il faut alors obtenir le consentement de la personne concernée avant d’envisager un traitement de données à caractère personnel. Le consentement est très protégé. Il est possible pour les personnes concernées de retirer leurs consentements et il est nécessaire de les informer sur cette possibilité. Néanmoins, le traitement opéré jusque-là restera licite et n’oblige pas à la suppression des données.
Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Ainsi le consentement doit être :
- Actif, une case à cocher suffit, mais il ne faut pas laisser place au doute.
- Libre, pour que la personne concernée accepte une finalité précise et pas plusieurs en même temps. La personne doit pouvoir vraiment choisir de refuser ou d’accepter. Ce n’est par exemple pas le cas pour un employé et un employeur.
- Spécifique, pour que la personne comprenne pour quoi elle donne son consentement. Le document doit être accessible, clair et limpide, dans un document disjoint d’autres plus généraux ou en tout cas clairement détachable.
- Éclairé, afin que la personne dispose de toutes les informations qui lui permettent de prendre la mesure de son engagement.
Attention : des règles spécifiques s’appliquent pour le consentement des mineurs.