- Griet Verfaillie
- vie privée , GDPR , justification , traitement de données , consentement , intérêt légitime comme justification , intérêt légitime , données des personnes
Analyse
Selon la loi belge du 8 décembre 1992 relative à la protection de la vie privée à l'égard des
traitements de données à caractère personnel, on a toujours besoin d’une justification pour traiter
des données personnelles. La loi contient une liste de motifs.
La justification la plus souvent utilisée pour le traitement des données personnelles est
actuellement le « consentement » de la personne concernée.
Il ressort d’une étude du CIPL (Centre for Information Policy Leadership) que jusqu’à 90% des
entreprises s’appuient sur le « consentement » comme base de la majorité de leurs traitements.
Il y a également quelques faits dont il faut tenir compte si on utilise la justification du «
consentement » et qui échappent souvent aux entreprises. En outre, le nouveau Règlement sur la
Protection des Données, qui entrera en vigueur à partir de mai 2018, compliquera davantage encore
l’utilisation valable de la justification du « consentement ».
Ci-dessous, nous abordons quelques points qui méritent votre attention :
1. Points importants en rapport avec la justification du consentement
1.1 Même s’il y a un consentement, le traitement doit se faire de manière honnête et licite
Même si la personne concernée a consenti, les données qui sont traitées doivent seulement
concerner les données qui sont conformes aux objectifs indiqués et ces objectifs doivent être
explicitement signalés et autorisés.
Comme sous-traitant, vous devez donc être extrêmement transparent et honnête à l’égard des
personnes concernées par rapport au traitement prévu.
Si vous vous appuyez sur le consentement, vous devez, en tant qu’entreprise, recevoir à nouveau le
consentement de la personne concernée pour chaque nouvelle forme de traitement, sauf si le futur
traitement des données est compatible avec l’objectif original. Vous devez donc, en tant
qu’entreprise, pouvoir démontrer que vous avez reçu ce consentement.
Cela échappe souvent aux entreprises. Elles pensent qu’une fois le consentement reçu, les données
peuvent être traitées ultérieurement pour d’autres objectifs pour lesquels elles n’ont en fait reçu
aucun consentement.
Pourtant, le consentement doit en principe à nouveau être obtenu pour chaque activité de traitement
qui n’est pas compatible avec les objectifs originaux décrits et l’entreprise doit, en tant que
sous-traitant, pouvoir montrer qu’elle a obtenu le consentement.
1.2 Le consentement doit être libre, spécifique, informé et univoque
La justification du « consentement » est rendue plus stricte sous le Règlement sur la Protection des Données (RGDP) puisque le Règlement définit qu’il doit d’agir d’un « consentement » libre, spécifique, informé et univoque pour un ou plusieurs objectifs spécifiques (cela exclut par exemple les silences, une case déjà cochée ou une inactivité comme preuves valables du consentement).
Il doit s’agir d’un véritable choix. La personne concernée doit en d’autres mots pouvoir refuser son consentement ou le retirer sans conséquence préjudiciable. Ainsi par exemple, l’exécution d’un contrat ou la prestation d’un service ne peut pas être rendue dépendante du consentement.
Cela fait que pour les travailleurs, la justification du « consentement » est contestable. En effet, les travailleurs donneront facilement leur consentement à leur employeur pour le traitement des données à caractère personnel vu le lien d’autorité existant entre le travailleur et l’employeur et donc par peur des conséquences négatives. Par conséquent, le consentement du travailleur ne sera pas considéré comme « libre ».
1.3 Quid si la personne concernée retire son consentement ?
Si vous vous appuyez sur le consentement, vous pouvez également être confronté à une personne qui retire son consentement. En conséquence, le traitement de ces données est arrêté, ce qui peut être très difficile si le processus de traitement a été lancé.
2. L’intérêt légitime comme justification
Cette justification va prendre de l’importance vu les exigences renforcées autour du «
consentement » dans le Règlement sur la Protection des Données, mais aussi parce que les
entreprises ont souvent simplement un intérêt légitime à traiter.
Le traitement est légitime s’il est nécessaire à la réalisation d’un intérêt légitime du
responsable du traitement ou d’un tiers.
Naturellement, l’intérêt légitime du sous-traitant ou le consentement de la personne concernée ne
sont pas les seules justifications pour le traitement en vertu du Règlement pour la Protection des
Données.
Les quatre autres motifs sont des justifications pour un traitement pour des raisons bien
déterminées et il faut utiliser ces motifs s’ils sont à l’ordre du jour.
Cela concerne plus particulièrement :
- Le traitement dans le cadre de l’exécution d’un contrat,
- Le traitement dans l’intérêt vital de la personne concernée,
- Le traitement pour une obligation légale et
- Le traitement pour effectuer une mission d’intérêt public.
3. Conclusion
Le consentement est évidemment encore toujours nécessaire pour pouvoir traiter les données des
personnes concernées à des fins de marketing direct, de même que quand vous faites, en tant
qu’entreprise, certains traitements qui pourraient tomber en dehors des attentes raisonnables de la
personne concernée.
Pour le traitement ordinaire des données à caractère personnel, on est confronté, en cas
d’utilisation du « consentement », à plusieurs problèmes qui vont le banaliser et on fera donc
plutôt appel à l’intérêt légitime comme justification.
