Voilà une question que vous allez poser ou que l’on va vous poser dans les mois qui viennent dans le cadre des discussions que vous aurez fatalement autour du RGPD.

Un traitement de données = une base légale nécessaire

C’est l’article 6 du règlement qui pose les bases de la licéité du traitement. Pour être licite le traitement, nous dit le texte, doit au moins répondre à une des conditions suivantes :

  • Un consentement de la personne concernée par le traitement
  • Les données sont nécessaires à l’exécution d’un contrat ou à un précontrat
  • Obligation légale
  • La sauvegarde des intérêts vitaux d’une personne
  • Une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

Dès lors que beaucoup d’entrepreneurs considèrent encore aujourd’hui le RGPD comme une contrainte juridique dont ils se seraient bien passés, lequel de ces fondements est-il le plus pratique à utiliser ? Voire le plus sûr pour qui ne veut pas prendre le moindre risque juridique ?

Un jeu de chamboule-tout juridique

Ecartons les hypothèses les unes après les autres.

On peut d’emblée écarter deux fondements très spécifiques :

  • la sauvegarde des intérêts vitaux
  • la mission d’intérêt public

Si on s’attache aux activités les plus communes des entreprises, la grande majorité ne sera pas concernée par ces 2 fondements.

Dès lors, demeurent 4 fondements licites au traitement des données.

Une seconde élimination relevant de la pure logique saute aux yeux :

  • le traitement des données nécessaire à l’exécution d’un contrat ou d’un précontrat
  • le fondement de l’obligation légale.

Dans les deux cas, la logique prend le pas sur le raisonnement : vous avez besoin des coordonnées et de l’identité du client achetant des produits sur votre site e-commerce et vous conserverez précieusement la facture émise pour respecter vos obligations comptables et fiscales.

En réalité ces deux fondements ne relèvent pas d’une option mais d’une logique élémentaire ne s’inscrivant pas dans une stratégie « commerciale » de recueil et de traitement des données.

Le consentement : roi du fondement juridique de traitement des données.

Bilan ? Hors cas de logique pure (nécessité contractuelle, obligation légale) ou cas de figure très spécifique (sauvegarde des intérêts vitaux et mission d’intérêt public), il ne reste que deux fondements licites au traitement de données : le consentement de la personne concernée et les intérêts légitimes du responsable du traitement ou d’un tiers.

Or, si du consentement on sait absolument tout grâce aux quelques 68 articles du RGPD y faisant référence directement ou indirectement et notamment à l’article 7 intitulé « Conditions applicables au consentement » (l’article 8 traitant lui du consentement des enfants) tel n’est en revanche pas le cas de cette notion fumeuse « des intérêts légitimes poursuivis par le responsable du traitement » qui n’est jamais clairement définie dans le texte…

En l’état, pour savoir si vous êtes dans les clous de cette notion, vous devrez vous contenter du considérant 47 du texte procédant par des exemples peu éclairant : « (…) un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service (…) »

Vous n’avez rien compris ? Tant pis pour vous… d’autant que ce même considérant 47 précise quand même que « (…) l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée »

Toujours rien compris ? Bon… Dans ce cas, le plus sûr consiste à vous référer au travail réalisé par le G29 (groupement des CNIL européennes), en l’espèce, l’avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE réalisé le 9 avril 2014 : 78 pages (!!!) de pur bonheur juridique… et la garantie de ne pas pouvoir exclure une certaine forme d’insécurité juridique dès lors qu’il n’existe aucun recul pratique sur cette notion.

Pour faire simple, fonder un traitement sur cette notion c’est accepter l’idée d’une complexité certaine et donc de prendre un risque sérieux au regard des sanctions encourues : vous n’avez pas le droit à l’erreur.

Quel enseignement tirer de cette analyse ?

Le recueil du consentement des personnes concernées par le traitement projeté constitue donc, pour la plupart des entreprises, la voie la plus sûre mais aussi la plus simple à emprunter pour se conformer aux obligations du RGPD.

Il ne vous reste plus alors qu’à recueillir un consentement répondant aux exigences du RGPD pour traiter les données recherchées.

Mais ça, heureusement, Axeptio le fait pour vous…