RGPD : les bases légales qui autorisent la collecte de données personnelles

Accompagnement des personnes, suivi RH, etc. associations et organismes vous collectez des données à caractère personnel que vous conservez dans des fichiers papiers et/ou des fichiers informatisés. En collectant ces données, vous mettez en place un “traitement de données à caractère personnel”.

Le Règlement général sur la protection des données (RGPD) impose de nouvelles obligations à tous les responsables de traitement.

Parmi ces obligations, figure celle de pouvoir justifier sur quelle « base légale » le traitement est réalisé. QUESACO ??

A l’ère du numérique, il est de plus en plus tentant de vouloir collecter un maximum de données à caractère personnel pour gagner en efficacité dans les structures. Face à ces volontés de performance, le RGPD impose toutefois des règles protectrices pour les personnes destinées à garantir le respect de leur vie privée et des libertés publiques.

Le responsable d’un traitement de données personnelles doit donc, dans tous les cas, pouvoir justifier d’une « base légale », qui l’autorise à collecter des données personnelles. Il ne peut pas mettre en place un traitement de données comme il l’entend.

La CNIL est venue clarifier dans une page dédiée (https://www.cnil.fr/fr/les-bases-legales) chacune des bases légales possibles, à savoir :

• Le consentement : le traitement implique que vous recueilliez le consentement préalable des personnes concernées par le traitement
• L’existence d’un contrat : une clause du contrat prévoit la collecte et le traitement des données personnelles et les personnes ont signé ce contrat (accord)
• L’obligation légale : la loi ou une disposition réglementaire prévoit le traitement des données
• La mission d’intérêt public : les traitements principalement mis en œuvre par les autorités publiques
• L’intérêt légitime : le traitement ne crée pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
• La sauvegarde des intérêts vitaux de la personne concernée

Elle rappelle également des principes essentiels :

• Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités.
• Le traitement de données « sensibles » est par principe interdit. Le traitement de ces données impliquent non seulement de déterminer la base juridique mais aussi de pour voir justifier de l’une des hypothèses prévue par le RGPD qui autorise leur collecte.

Avant tout traitement, la CNIL propose 3 questions à se poser pour déterminer la base légale de son traitement :

1. Les textes imposent-ils ou excluent-ils une base légale spécifique ?

Par exemple, si le traitement est imposé à l’organisme par la loi, la base juridique « obligation légale » doit être privilégiée.

2. Quel est le contexte général de mise en œuvre du traitement ? Par exemple, le type d’organisme, le secteur d’activité, l’existence d’une base contractuelle.

3. Les conditions propres à la base légales sont-elles remplies ?

Par exemple, le consentement des personnes doit être « libre, spécifique, éclairé et univoque » pour être valablement recueilli et constituer dès lors la base légale du traitement. Si l’une de ces conditions n’est pas remplie, le consentement ne peut pas constituer la base légale du traitement.

Afin de comprendre concrètement de quoi il s’agit nous publierons prochainement une note qui décrypte l’article de la CNIL.