Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

[RGPD] Du nouveau sur la base légale liée à l’exécution du contrat : le contrat, rien que le contrat !

Cette semaine, Isabelle Cantero, avocate au sein du cabinet Caprioli & Associés, aborde le sujet de la base légale liée à l’exécution du contrat sur laquelle le Comité Européen de la Protection des Données (CEPD) vient de statuer

Twitter Facebook Linkedin Flipboard Email
×

[RGPD] Du nouveau sur la base légale liée à l’exécution du contrat : le contrat, rien que le contrat !
[RGPD] Du nouveau sur la base légale liée à l’exécution du contrat : le contrat, rien que le contrat ! © rawpixel/Pixabay
A l’origine de l’analyse : le Comité Européen de la Protection des Données (CEPD)
Sur plus de 2 décennies, les représentants des autorités de contrôle nationales et de la Commission européenne, réunis au sein du Groupe de travail G29, ont livré leur interprétation des concepts et des principes de base de la protection des données personnelles. Plutôt attendu en la matière … ainsi, depuis 1997, plus de 250 documents (Lignes directrices, Avis, Documents de travail …) ont été publiés par cet organe européen indépendant. Ses analyses ont fort souvent (mais pas toujours) guidé les responsables de traitement comme les sous-traitants dans leur compréhension et leur mise en œuvre de la réglementation.

En 2018, le G29 a été remplacé par le Comité Européen de la Protection des Données (CEPD), le RGPD se chargeant au passage de renforcer ses missions. Si on devait synthétiser, outre la poursuite des publications officielles (Lignes directrices, Recommandations et Bonnes pratiques), le CEPD doit veiller à l’application cohérente du RGPD au sein de l’Union Européenne. Ce qui change donc : le pouvoir contraignant du CEPD vis-à-vis des autorités de contrôle nationales pour certaines de leurs décisions conformément à l’article 64 du RGPD (ex. liste des traitements soumis à une analyse d’impact, projet de code de conduite, clauses contractuelles, …) et pour le règlement de litiges éventuels entre ces dernières.

Sur la continuité des analyses plus que jamais nécessaires, le CEPD a endossé 16 documents officiels du G29, auxquels s’ajoutent ses propres documents de travail adoptés depuis le 25 mai 2018. A noter : l’ensemble des travaux du G29 reste disponible et conserve un intérêt certain au vu des nombreux sujets abordés bien souvent toujours d’actualité. Depuis, le CEPD a notamment adopté ses propres lignes directrices.

Concrètement, les Lignes Directrices, les Recommandations et les Bonnes Pratiques publiées par le CEPD doivent être suivies par les acteurs de la protection des données personnelles (DPO, responsables de traitements, sous-traitants).
 
Les Lignes directrices 2/2019 du CEPD : quelles orientations ?
Le principe : tout traitement de données personnelles doit être licite pour être mis en œuvre, c’est-à-dire, reposer sur une des bases légales énoncées à l’article 6 du RGPD - consentement de la personne concernée, respect d’une obligation égale, traitement « nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ». C’est cette condition de licéité posée par l’article 6-1(b) du RGPD qui fait l’objet d’analyses et de précisions de la part du CEPD dans ses Lignes directrices 2/2019 du 9 avril dernier.

Petite précision, les Lignes directrices portent sur les contrats de services en ligne (payants ou non). Dans ce contexte, le CEPD analyse la notion de « nécessaire à la conclusion et à l’exécution du contrat » de façon plutôt stricte. Une importance majeure est accordée à l’évaluation préalable de la nécessité du traitement des données personnelles pour la conclusion et l’exécution du contrat. Attention, il ne s’agit pas simplement de se contenter « de ce qui est autorisé ou écrit dans le contrat ». Evaluer ce qui est nécessaire au contrat relève également d’une analyse factuelle des traitements de données personnelles liés aux services proposés. Et de devoir s’interroger donc sur chaque service/fonctionnalité proposés : les services sont-ils intrinsèquement liés à l’objet du contrat ? Sont-ils clairement annoncés à la personne concernée ? Sont-ils attendus par l’utilisateur ? ... Les réponses doivent tenir compte du point de vue du responsable de traitement (objectifs commerciaux) et surtout des attentes raisonnables de la personne concernée  (la lecture du Considérant 50 du RGPD est ici très utile).
Pour le CEPD, le responsable de traitement doit pouvoir démontrer que i) le contrat existe, ii) le contrat est conforme aux exigences légales (conforme au droit des contrats, droit de la consommation), iii) le traitement des données est objectivement nécessaire à l’exécution du contrat (CGU, CGV en ligne). Si on raisonne en termes de finalités, le traitement doit répondre à une finalité intrinsèquement liée à la fourniture du service à la personne concernée (comme par exemple, la facturation du service). 
 
Et concrètement ?
Le CEPD admet que le traitement de données pour la personnalisation du contenu peut constituer un élément essentiel ou attendu du service fourni à l’utilisateur, et pourra donc valablement être  considéré comme nécessaire à l'exécution d'un contrat. Petit bémol toutefois, cette possibilité doit être appréciée en fonction notamment de la nature et des conditions du service fourni. A titre d’exemple, le CEPD cite un service de regroupement de nouvelles en ligne offrant à ses utilisateurs des contenus sur mesure à partir de plusieurs sources en ligne. Le CEPD admet que la personnalisation via la constitution de profils des centres d’intérêts des utilisateurs peut être considérée comme objectivement nécessaire à l’exécution du contrat.

Sans grande surprise, l’article 6 (1) (b) ne peut pas servir de base légale pour les traitements ayant pour finalité la prévention de la fraude, la publicité comportementale en ligne ainsi que le suivi et le profilage associé des personnes. Le responsable de traitement devra donc rechercher une autre base légale à ces traitements (consentement préalable, respect d’une obligation légale, intérêt légitime… au choix !)

Plus compliqué, l’amélioration du service, le développement de nouvelles fonctionnalités au sein d’un service existant ne sont pas considérés comme étant objectivement nécessaire à l’exécution du contrat. Une analyse au cas par cas s’impose donc. Se pose ici la question de fond liée au principe de limitation et de compatibilité des finalités. Pour rappel, seules les finalités compatibles avec la finalité initiale de la collecte des données peuvent bénéficier de la même base juridique. En conséquence, l’évaluation de la nécessité contractuelle ou précontractuelle des services/fonctionnalités connexes ou complémentaires qui sont proposés à l’utilisateur semble devoir passer par une vérification systématique de leur finalité par rapport à celle du service objet du contrat.

Enfin, le CEPD rappelle que la fin du contrat implique en principe l’effacement des données et, partant, leur conservation n’est pas considérée comme « nécessaire à l’exécution du contrat ». Il faut donc rechercher pour ce traitement supplémentaire une autre base juridique (respect d’une obligation légale ou intérêt légitime) qui devra être définie et communiquée à l’utilisateur dès le début du traitement.
 
Les conséquences ?
La vérification ne s’arrête pas là, car comme vous le savez, les liens en cascade tissés par le RGPD font que la finalité détermine la base légale qui détermine les droits reconnus aux personnes qui détermine l’information sur les traitements…  
Citant Voltaire pour qui « rien ne se fait sans un peu d’enthousiasme », il ne me reste plus qu’à vous en souhaiter beaucoup.


 

Isabelle CANTERO, Avocat associé, Responsable du pôle Vie privée et protection des données personnelles, Caprioli & Associés, société d’avocats, membre du réseau JurisDéfi
 
 
Les avis d'experts sont publiés sous la seule responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale