Les principes du traitement - Le RGPD : nouveau droit de la protection des données personnelles • Bibliothèque • Zeste de Savoir

Commençons par mentionner l’alinéa du texte de loi structurant cette partie, où les trois principes sont posés clairement, même si nous les traiterons dans un ordre différent :

Les données à caractère personnel doivent être […] traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)

Source : Article 5 du RGPD

Aussi, laissez-moi définir un concept qui sera réutilisé par la suite, la finalité du traitement : c’est en réalité l’objectif du traitement, sa raison d’être ; sans finalité, un traitement ne peut exister (ou alors il est illicite), selon le droit européen.

Principe de collecte loyale
Obligation de transparence
Licéité du traitement

Principe de collecte loyale

Le principe de collecte loyale existe déjà depuis longtemps en droit français ; il est en effet mentionné à l’article 226-18 du Code Pénal, qui interdit la collecte de données personnelles « par un moyen frauduleux, déloyal ou illicite ». Une jurisprudence existe donc déjà à ce sujet, on sait ainsi¹ qu’est déloyal un traitement consistant, pour une société de recouvrement, à collecter des informations concernant une personne, à partir de ses lettres écrites au propriétaire ou syndic’ de copropriété, à l’exception évidente de ses informations de contact usuelles.

Aussi, la jurisprudence française, qui devrait rester applicable suite au RGPD, précise qu’une information librement accessible ne peut pas forcément être librement réutilisée², et constitue, sans consentement de l’utilisateur, et hors cas d’exception (je pense ici à la sécurité nationale, ou au traitement effectué par une personne physique), une atteinte au principe de loyauté. PagesJaunes avait en effet « aspiré » les données de millions d’utilisateurs – qu’ils avaient eux-même mis en ligne sur les réseaux sociaux – pour remplir son célèbre annuaire.

Le RGPD, quant à lui, définit clairement ce principe, mais hors de son champ de définitions³ : il précise que la personne concernée doit être informée de l’existence et des finalités du traitement ; entre aussi dans cette définition le fait de porter à la connaissance de l’utilisateur les conséquences pour lui s’il refuse ce traitement. En outre, est aussi précisée la possibilité de recourir à des icônes pour faciliter la compréhension par l’utilisateur du traitement et de ses conditions ; cela montre que le Règlement n’est pas formel concrètement : la seule chose qui importe est l’information de l’utilisateur – notons que l’utilisation unique d’icônes ne saurait par contre, à elle seule, informer suffisamment l’utilisateur.

Plus loin, le RGPD, après avoir mentionné l’obligation de ce principe de loyauté, mentionne, sans les attribuer directement au principe, deux obligations qui y sont liés : l’obligation de finalités « déterminées, explicites et légitimes »⁴ (c’est le principe de proportionnalité), ainsi qu’un traitement « adéquat, pertinent et limité »⁴ des données. Ces nouvelles définitions se passent de commentaire, et permettent déjà de bien mieux cerner le principe de collecte loyale.

Pour revenir un instant sur le principe de proportionnalité, qui est à la fois lié et considéré indépendamment du principe de loyauté⁵ : il s’apprécie au cas par cas, en fonction des règles applicables, c’est donc principalement la jurisprudence à venir qui nous donnera les cas particuliers où il est respecté ou non. Un exemple n’est jamais de refus, on pourrait ainsi citer le Code du Travail⁶, en matière de traitement dans un cadre RH, qui prévoit des dispositions de lutte contre les discriminations, un fichage ethnique est donc une collecte disproportionnée, en vertu des textes applicables.

Il convient de faire légalement attention aux collectes indirectes, comme les adresses IP qui sont collectées et stockées, généralement avec des données temporelles et de connexion, par les prestataires d’hébergement. Ces données sont pour la plupart (sauf à être anonymisées avant stockage) soumises au même RGPD que les traitements « volontaires ».

Pour terminer, et comme le sujet est très dense, je vous recommande de regarder les recommandations de la CNIL à ce sujet, par exemple ici pour le commerce et le marketing.

Cass. Crim., 3 nov. 1987, n° 87-83429 ↩
CE, 9 et 10ème chambre, 12 mars 2014, n° 353193, dite « PagesJaunes » ↩
RGPD, considérant 68 ↩
RGPD, art. 5, considérant (b) et (c) ↩
Il est indépendant sur la forme (séparé au niveau législatif), mais poursuit un même objectif de fond ↩
C. trav., art. L1132-1 et autres ↩

Obligation de transparence

Cette partie sera plus courte que les autres, en effet, j’ai préféré, pour des raisons de simplicité, traiter cette obligation en deux fois : d’une part, cette partie, qui mentionne le principe général de transparence, et la partie sur la sécurité et la confidentialité, qui comporte un volet de transparence.

Comme je le précisais en introduction, une obligation de transparence incombe au responsable du traitement ; cette obligation se compose en partie du droit à l’information, qui consiste à permettre à l’utilisateur de demander à tout moment d’être informé sur les traitements dont ses données personnelles font l’objet¹, ainsi que de pouvoir être informée de la finalité et des modalités du traitement. Je reparlerais de ce droit plus en détails dans la partie prévue à cet effet, mais sachez qu’en pratique (hors du droit de contexte du simple RGPD), il ne peut, sauf rares exceptions, être opposé à une personne, même dans des cas de sécurité nationale – avec des subtilités toutefois, comme le fichier des fichés S, où il se transforme plutôt en droit au contrôle externe (la personne peut demande que soient vérifiés que le traitement dont elle fait l’objet sont légaux, mais ne peut le vérifier elle-même).

Le Règlement énumère un ensemble d’informations devant être obligatoirement communiqué aux personnes concernées ; si la collecte est directe – c’est-à-dire qu’elle est effectuée directement auprès de l’utilisateur, il faut fournir² :

l’identité et coordonnées du responsable du traitement et du DPD ;
si les données sont transmises à un tiers, l’identité de ce tiers ;
la finalité du traitement et sa base juridique (extraite du principe de licéité que nous verrons après) ;
l’existence d’un transfert hors EU dans certains cas (nous le reverrons) ;
la durée de conservation des données (droit à l’oubli) ;
un rappel des différents droits des utilisateurs (les six fondamentaux et le droit au recours effectif).

Les informations à fournir varient légèrement si elles ont été collectées de manière indirecte, le dernier point ci-dessus est en effet inapplicable et remplacé la mention de la catégorie des données concernées ainsi que de la source de ces données.

Pour terminer sur ce principe de transparence, il est constitué d’un dernier volet concernant une certaine transparence concernant l’utilisation des données : le Règlement rappelle³, particulièrement, le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (limitant ainsi le profilage, c’est-à-dire l’analyse informatisée d’un comportement) ; ce principe est l’un des seuls précisés concernant l’utilisation des données (transparence a posteriori).

RGPD, art. 12 ↩
RGPD, art. 13 ↩
RGPD, art. 22 ↩

Licéité du traitement

La licéité du traitement, dernier principe consacré par le droit nouveau, est mentionnée juste après la liste des trois principes¹, et consiste en une liste à puce précisant les cas de licéité du traitement. Le premier cas est plutôt simple : il définit le traitement comme licite dès lors que l’utilisateur y a consenti, pour une ou des finalités définies et spécifiques – ce concept de spécificité est très important, vous l’avez peut-être remarqué si vous utilisez Facebook : pour chaque finalité, et pour chaque donnée collectée, le site demande maintenant un consentement précis.

Cette obligation de consentement est novatrice en cela qu’elle consiste en un consentement positif, alors qu’il pouvait avant tout aussi bien être effectué a posteriori du traitement. En pratique, il faut donc que l’utilisateur précise, pour chaque donnée, et chaque finalité, son choix concernant cette donnée personnelle ; ce choix doit consister en un « oui » ou un « non », les anciens sites présumant que vous acceptez une collecte en continuant la navigation sont donc dans l’illégalité.

Notons que le choix de l’utilisateur ne peut en aucun cas altérer son utilisation du service, s’il refuse un quelconque traitement, seules les parties du service directement liées à ce traitement particulier peuvent lui être refusées ; il ne peut en aucun cas être privé d’accès total au service, sauf si le traitement est strictement nécessaire au dit service².

Le consentement n’est pas forcément la base légale privilégiée lors d’un traitement de données : pour éviter les contraintes de celui-ci le législateur prévoit de nombreuses exceptions au principe général (de consentement). Le traitement peut ainsi être effectué s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée a souscrit – on pense ici particulièrement aux contrats commerciaux, où le traitement, par exemple, de l’adresse de livraison, est évidemment nécessaire à la réalisation du contrat.

Les autres exceptions sont moins importantes et concernent, dans l’ordre³ :

le respect d’une obligation légale : si le responsable du traitement est contraint par la loi à effectuer ce traitement ;
la nécessité de sauvegarde des intérêts vitaux d’une personne, plus précisément « de la personne concernée » ; il va de soi qu’un hôpital recevant quelqu’un en urgence ne peut lui demander de consentir au traitement préalablement aux soins ;
la nécessité d’exécution d’une mission d’intérêt public ; c’est probablement l’exception qui suscitera le plus de doute d’interprétation, étant donné que le sens de « mission d’intérêt public » n’est pas défini par le RGPD ;
la nécessité du traitement « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers » ; en substance, cela concerne typiquement la justice, qui pourra traiter des informations sur une personne assignée sans son consentement, car la personne qui en assigne une autre en justice possède ici un intérêt légitime.

Je mentionne ici la justice comme ayant un intérêt légitime, mais ce principe peut être appelé par une structure privée et constitue sûrement une des exceptions qui sera la plus utilisée, mais elle est à prendre avec des pincettes pour le moment, étant donné le flou absolu qui règne autour, et l’opposition claire entre les principes, par exemple, du droit français, et le RGPD. La CNIL, en effet, considère la prospection commerciale comme interdite⁴, mais le Règlement précise bien que « Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime »⁵, et doit à ce titre être autorisé ; seule la jurisprudence future pourra donc borner correctement cette notion d’intérêt légitime, restreint par la préservation des libertés fondamentales⁶.

RGPD, art. 6 ↩
RGPD, art. 7, alinéa 4 ↩
RGPD, art. 6, licéité du traitement ↩
C. consom., art. L. 121-20-5 ; CPCE, art. L. 34-5 ; voir dépliant CNIL « La publicité par voie électronique » ↩
RGPD, considérant 47 ↩
RGPD, art. 6, alinéa 1.f ↩

Cette notion de collecte loyale des données personnelles est un pilier du nouveau droit européen, car elle détermine si la collecte peut être autorisée, avant même de parler de son traitement. Elle est donc une question à poser en amont : « Ai-je le droit de procéder au traitement ? ». Du point de vue des utilisateurs, cette notion peut ne pas paraître indispensable, mais elle est très importante, en effet, si vos données n’auraient pas dû être traitées a priori, alors elles ne peuvent continuer à l’être.