Journal de l'économie

Envoyer à un ami
Version imprimable

RGPD : Les exceptions au consentement préalable du titulaire de la donnée pour la collecte de renseignements personnels





Le 14 Octobre 2019, par Olivier de Maison Rouge - Adrien GUYOT

Le RGPD s’étant donné pour but de remettre le titulaire des données au cœur de leur gestion par les organismes et les entreprises, il a été institué le principe d’un consentement non équivoque, libre et éclairé.


RGPD : Les exceptions au consentement préalable du titulaire de la donnée pour la collecte de renseignements personnels
Néanmoins, le pragmatisme a voulu que la perception du consentement ne soit pas une exigence systématique.
 
Alors que le principe frappe le traitement d’illicéité lorsque la personne concernée n’a pas consenti à la collecte de ses données à caractère personnel (I), tel n’est pas le cas en présence d’au moins une des cinq (5) conditions (II) dont la superposition est garante de sécurité à l’égard de la retenue du fondement de la licéité du traitement (III).

Le principe du consentement

Cette exigence d’obtention de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » [1] n’est pas nouvelle, en ce sens que le principe du consentement servant de fondement à la licéité du traitement existait préalablement à l’élaboration du RGPD.
 
En effet, la loi de 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que la directive de 1995 faisaient déjà de cette règle, un principe dont la rigidité est telle, qu’il fût nécessaire d’instituer des exceptions de manière à rendre la collecte plus aisée lors de certaines circonstances.
 
Les exceptions au consentement

1. L'exécution d'un contrat ou de mesures précontractuelles.

En premier lieu, la survenance d’une collecte lors de « l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci »[2]
 
Ainsi, le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat. [3]

Cette condition de nécessité est importante dans la mesure où celle-ci doit être interprétée strictement. C’est à dire qu’il convient de démontrer qu’en l’absence de traitement, l’exécution du contrat est impossible.

Par exemple, dans le cadre d’un contrat de travail, à condition que le montant du salaire net par mois excède 1 500 € et que le salarié ait demandé à être rémunéré par ce biais, l’employeur peut licitement se faire communiquer les coordonnées bancaires de son salarié sans qu’il ne soit nécessaire de recueillir son consentement puisqu’en l’absence de ces données, le paiement par virement bancaire ne pourrait pas être fait et l’exécution du contrat serait rendue impossible.
 De la même manière, la collecte des adresses des personnes concernées est permise sans qu’il ne soit nécessaire de recueillir leur consentement lorsque ces dernières désirent acheter et par-delà se faire livrer un bien.
 
Cependant, il convient de préciser qu’une telle sévérité dans la qualification du caractère nécessaire du traitement ne permet pas de collecter des données lorsque ce traitement fait suite à l’exécution d’un contrat, à moins que la personne concernée ait émis le souhait de contracter de nouveau dans un avenir proche, de telle sorte que les parties soient placées dans le cadre de l’exécution de mesures précontractuelles.

Exemple de Due diligence contractuelle : il est possible de procéder à une collecte stratégique à sur une société cible au sein d’un champ d’investigation non normé. Le recueil des informations pourra être personnalisé et bénéficier d’une absence d’exigence de consentement de la personne concernée lors de l’évaluation du potentiel de la cible et de la présence de risques d’acquisitions.
Autre exemple, si une personne demande un devis à un assureur, celui-ci a la possibilité de collecter des données à caractère personnel sans son consentement afin d’établir ce devis.

2. Le respect d'une obligation légale

La survenance d’une collecte de données lorsque « le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis »  [4] dispense de recueillir le consentement de la personne concernée.

Le règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. [5]

Fondé sur l’intention parallèle, entre les parties à un contrat, de tendre à la diminution de l’asymétrie informationnelle et des risques d’exposition à la corruption par le biais du recours à la due diligence, l’emploi de la collecte dans le cadre de l’article 17 de la loi Sapin 2 permet de recueillir des données confidentielles sans qu’il ne soit nécessaire d’obtenir le consentement des personnes concernées.
Sous couvert de répondre aux obligations de mise en œuvre du dispositif anticorruption de la loi Sapin 2, le responsable de traitement peut librement et légalement collecter des informations sur les clients du partenaire commercial proposé et sur toute tierce partie avec laquelle il travaille régulièrement, y compris des informations sur la façon dont ces relations ont été établies. Il peut aussi obtenir des informations financières ou sur les éventuels précédents juridiques et enquêtes officielles concernant les membres d’un conseil d’administration et de la direction d’une société.
En outre, ce responsable de traitement peut collecter des informations sur la structure de l’actionnariat et les actionnaires du partenaire proposé, ainsi que les sociétés parentes et filiales appartenant partiellement ou en totalité au partenaire étudié.
Ce recensement de collectes dénuées de consentement n’est nullement exhaustif.

3. La sauvegarde des intérêts vitaux

La survenance d’une collecte de données lorsque « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique » [6] dispense de recueillir son consentement.
 
Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait, en principe, avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine. [7]
 
Sur ce point, au sein d’un arrêt rendu par la chambre criminelle à la date du 8 juillet 2015, la Cour de cassation a considéré qu’en raison de la nécessaire protection de la santé, la collecte et le traitement de la donnée sensible relatif à l’orientation sexuelle d’un donneur de sang n’est pas constitutif d’un manquement à l’encontre de l’article 8 de la CEDH concernant le respect de la vie privée et de l’article 226-19 du Code pénal relatif à l’interdiction de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle ou à l'identité de genre de celles-ci.
 
En d’autres termes, le RGPD vient renforcer le principe selon lequel la nécessaire protection de la santé permet de justifier la collecte de données sensibles en l’absence de consentement de la personne concernée.

En pratique, un établissement ou un professionnel de la santé a la possibilité de recueillir les données sensibles d’un patient sans son consentement lorsque la sauvegarde de ses intérêts vitaux ou des tiers s’impose.
L’exception permettant de collecter des données à caractère personnel et notamment des informations sensibles sans qu’il ne soit nécessaire de requérir un quelconque consentement s’applique à l’égard de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé

4. L'exécution d'une mission d'intérêt public

La survenance d’une collecte de données lorsque « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » [8] dispense de recueillir le consentement des personnes concernées.

Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible.
En outre, « le fait, pour le responsable du traitement, de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels ou dans plusieurs cas relatifs à une même infraction pénale ou à des mêmes menaces pour la sécurité publique devrait être considéré comme relevant de l'intérêt légitime du responsable du traitement. »
Cela vaut pour les enquêtes pénales sur tout individu susceptible d’avoir commis une infraction.

5. L'intérêt légitime

Enfin, la survenance d’une collecte de données lorsque « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers » [9] dispense de recueillir le consentement des personnes concernées.
 
Alors que la loi de 1978 précisait que la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire ne devait pas « méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » [10] , le RGPD va plus loin en introduisant un rapport de supériorité qui, au détriment de l’intérêt légitime du responsable du traitement, fait prévaloir « les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. ».
 
Afin de déterminer quels sont les intérêts à faire prévaloir entre ceux du responsable du traitement et ceux de la personne concernée, il importe de tenir compte de leurs « attentes raisonnables … fondées sur leur relation ».
En d’autres termes, faisant suite à une évaluation attentive permettant de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée, « les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. ». [11]
 
En outre, le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné.

En pratique, la détection des fraudes exige une collecte d’informations et une investigation par le biais d’une analyse de données comptables et financières. L’acquisition dénuée de consentement est autorisée à condition qu’une telle collecte soit effectuée dans le seul dessein de mettre en exergue des transactions frauduleuses.

De surcroît, le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
Par conséquent, dans une optique de prospection directe par voie électronique, la collecte de données est permise sans requérir le consentement de la personne concernée.
 
Cette exception d’intérêt légitime tend à contredire l’article L34-5 du Code des postes et des communications électroniques mettant en exergue le fait que « la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguï, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé. ».
 
L’article 16 relatif aux communications non sollicitées de la proposition de règlement e-privacy étend cette règle à la prospection auprès des sociétés:
« Les personnes physiques ou morales peuvent utiliser les services de communications électroniques pour l'envoi de communications de prospection directe aux utilisateurs finaux qui sont des personnes physiques. »
 
Par conséquent, l’exception d’intérêt légitime du responsable de traitement peut être employée par une personne physique ou morale aux fins de collecte de données à caractère personnel dans le cadre de la prospection directe, sans avoir à recueillir le consentement des personnes concernées, dans la mesure où l’intérêt en jeu est licite. Pour ce faire, il faut que la collecte envisagée soit nécessaire et proportionnée à la réalisation de l’intérêt légitime poursuivi, et enfin que les intérêts ou droit fondamentaux de la personne concernée ne prévalent pas sur l’intérêt légitime du responsable de traitement.
 
En d’autres termes, une personne physique ou morale a la possibilité de collecter des données à caractère personnel sans requérir le consentement des consommateurs potentiels à condition que ce recueil s’insère dans une optique de prospection.
 
Cela signifie qu’une captation de données sans rapport avec cet objectif ne peut pas se prévaloir de l’exception d’intérêt légitime.


Le fondement de la licéité du traitement

Au sens de l’article 6 du RGPD, puisque « le traitement n'est licite que si, et dans la mesure où, au moins une des conditions » citées en amont est remplie, cela signifie qu’il serait a priori permis d’assigner plusieurs exceptions en tant que bases de licéité de la collecte de données à caractère personnel.
 
En d’autres termes, le responsable de traitement dispose de la latitude la plus complète afin de naviguer entre les différentes bases légales. Dans la mesure où les motifs d’intérêt public permettant la collecte de données sans le consentement des personnes concernées peuvent se cumuler avec d’autres exceptions telle que celle ayant trait aux intérêts vitaux, il est conseillé d’éviter d’établir une seule solution afin de recueillir les informations désirées. En effet, si l’exception unique n’est pas retenue lors du contrôle de licéité du traitement et que le responsable n’est pas en mesure d’apporter la preuve du consentement, celui-ci peut lui voir être opposé des amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
 
Par conséquent, il convient d’éviter ce risque majeur en retenant plusieurs fondements de licéité du traitement basés sur les exceptions précédemment recensées de telle sorte que si l’une se voit être écartée, une autre pourra être retenue sans qu’un changement de fondement de licéité ne puisse être mis en exergue puisque la superposition des exceptions est autorisée par l’article 6 du RGPD.
 

Olivier de Maison Rouge, Avocat
Et Adrien GUYOT, juriste
Cabinet Lex-Squared




 
(1) Article 4-11 du RGPD
(2) Article 6, 1. b) du RGPD
(3) Considérant 44 du RGPD
(4) Article 6, 1. c) du RGPD
(5) Considérant 45 du RGPD
(6)Article 6, 1.d) du RGPD
(7) Considérant 46 du RGPD
(8) Article 6, 1.e) du RGPD
(9) Article 6, 1.f) du RGPD
(10) Article 7, 5° de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
(11) Considérant 47 du RGPD


France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Marché | Billets d'humeur | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"



Les entretiens du JDE

Minorités d'Orient, les grandes trahies de l'Histoire

OPA du fonds Searchlight sur Latécoère : un nouveau scandale Alstom ?

Frédérique Picard :"j’ai décidé de répertorier les leviers spécifiques qui permettent aux femmes d’oser"

Jean-Louis Scaringella, les taux d’intérêt négatifs ou : « l’euthanasie des rentiers »

La Saga des Audacieux

Pouquoi les ambitions protectionnistes chinoises et américaines frappent la France et l'Europe

Frédéric Verdavaine (Nexity) : « Nous sommes au croisement de nombreux enjeux de société structurants pour l’avenir »

​« L’Etat ne peut pas se transformer en « père fouettard » et réguler avec des mesures très restrictives les acteurs innovants de l’économie collaborative »












Rss
Twitter
Facebook