veillemag

Le rendez-vous des professionnels de l'information stratégique







Question de Droit

RGPD : LES EXCEPTIONS AU CONSENTEMENT PRÉALABLE DU TITULAIRE DE LA DONNÉE


Olivier de Maison Rouge, Avocat Et Adrien GUYOT, juriste Cabinet Lex-Squared


Le RGPD s’étant donné pour but de remettre le titulaire des données au cœur de leur gestion par les organismes et les entreprises, il a été institué le principe d’un consentement libre et éclairé.
Néanmoins, le pragmatisme a voulu que la perception du consentement ne soit pas une exigence systématique.
Alors que le principe frappe le traitement d’illicéité lorsque la personne concernée n’a pas consenti à la collecte de ses données à caractère personnel (I), tel n’est pas le cas en présence d’au moins une des cinq conditions (II) dont la superposition est garante de sécurité à l’égard de la retenue du fondement de la licéité du traitement (III).




I. LE PRINCIPE DU CONSENTEMENT

Cette exigence d’obtention de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »[[1]]  n’est pas nouvelle, en ce sens que le principe du consentement servant de fondement à la licéité du traitement existait préalablement à l’élaboration du RGPD.
En effet, la loi de 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que la directive de 1995 faisaient déjà de cette règle, un principe dont la rigidité est telle, qu’il fût nécessaire d’instituer des exceptions de manière à rendre la collecte plus aisée lors de certaines circonstances.
 
[[1]] Article 4-11 du RGPD

II. LES EXCEPTIONS AU CONSENTEMENT


1. L’EXECUTION D’UN CONTRAT OU DE MESURES PRECONTRACTUELLES

En premier lieu, la survenance d’une collecte lors de « l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci »[[1]] dispense le recueil du consentement.

Ainsi, le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat.[[2]]

Cette condition de nécessité est importante dans la mesure où celle-ci doit être interprétée strictement. C’est à dire qu’il convient de démontrer qu’en l’absence de traitement, l’exécution du contrat est impossible.
 
[[1]] Article 6, 1. b) du RGPD
[[2]] Considérant 44 du RGPD

Par exemple, dans le cadre d’un contrat de travail, à condition que le montant du salaire net par mois excède 1 500 € et que le salarié ait demandé à être rémunéré par ce biais, l’employeur peut licitement se faire communiquer les coordonnées bancaires de son salarié sans qu’il ne soit nécessaire de recueillir son consentement puisqu’en l’absence de ces données, le paiement par virement bancaire ne pourrait pas être fait et l’exécution du contrat serait rendue impossible. De la même manière, la collecte des adresses des personnes concernées est permise sans qu’il ne soit nécessaire de recueillir leur consentement lorsque ces dernières désirent acheter et pardelà se faire livrer un bien.

Cependant, il convient de préciser qu’une telle sévérité dans la qualification du caractère nécessaire du traitement ne permet pas de collecter des données lorsque ce traitement fait suite à l’exécution d’un contrat, à moins que la personne concernée ait émis le souhait de contracter de nouveau dans un avenir proche, de telle sorte que les parties soient placées dans le cadre de l’exécution de mesures précontractuelles.
 

A l’initiative du responsable de traitement ou d’un tiers, en aval de la lettre d’intention, dans un cadre précontractuel, il est possible de procéder à une collecte stratégique à l’encontre d’une société cible au sein d’un champ d’investigation non normé.
Ainsi le recueil des informations pourra être personnalisé et bénéficier d’une absence d’exigence de consentement de la personne concernée lors de l’évaluation du potentiel de la cible et de la présence de risques d’acquisitions. En outre, si une personne demande un devis à un assureur, celui-ci a la possibilité de collecter des données à caractère personnel sans son consentement afin d’établir ce devis.

2. LE RESPECT D’UNE OBLIGATION LEGALE

De surcroît, la survenance d’une collecte de données lorsque « le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis »[[1]]url:#_ftn1 dispense de recueillir le consentement de la personne concernée.

Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.[[1]]url:#_ftn1
 
[[1]]url:#_ftnref1 Considérant 45 du RGPD

[[1]]url:#_ftnref1 Article 6, 1. c) du RGPD
 

Fondé sur l’intention parallèle, entre les parties à un contrat, de tendre à la diminution de l’asymétrie informationnelle et des risques d’exposition à la corruption par le biais du recours à la due diligence, l’emploi de la collecte dans le cadre de l’article 17 de la loi Sapin 2 permet de recueillir des données confidentielles sans qu’il ne soit nécessaire d’obtenir le consentement des personnes concernées.
Sous couvert de répondre aux obligations de mise en oeuvre du dispositif anticorruption de la loi Sapin 2, le responsable de traitement peut librement et légalement collecter des informations sur les clients du partenaire commercial proposé et sur toute tierce partie avec laquelle il travaille régulièrement, y compris des informations sur la façon dont ces relations ont été établies. Il peut
aussi obtenir des informations financières ou sur les éventuels précédents juridiques et enquêtes officielles concernant les membres d’un conseil d’administration et de la direction d’une société.
En outre, ce responsable de traitement peut collecter des informations sur la structure de l’actionnariat et les actionnaires du partenaire proposé, ainsi que les sociétés parentes et filiales appartenant partiellement ou en totalité au partenaire étudié.
Ce recensement de collectes dénuées de consentement n’est nullement exhaustif.

3. LA SAUVEGARDE DES INTERETS VITAUX

En outre, la survenance d’une collecte de données lorsque « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique »[[1]]url:#_ftn1 dispense de recueillir son consentement.

Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait, en principe, avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.[[2]]url:#_ftn2
 
Sur ce point, au sein d’un arrêt rendu par la chambre criminelle à la date du 8 juillet 2015, la Cour de cassation a considéré qu’en raison de la nécessaire protection de la santé, la collecte et le traitement de la donnée sensible relatif à l’orientation sexuelle d’un donneur de sang n’est pas constitutif d’un manquement à l’encontre de l’article 8 de la CEDH concernant le respect de la vie privée et de l’article 226-19 du Code pénal relatif à l’interdiction de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle ou à l'identité de genre de celles-ci.
En d’autres termes, le RGPD vient renforcer le principe selon lequel la nécessaire protection de la santé permet de justifier la collecte de données sensibles en l’absence de consentement de la personne concernée.
 
[[1]]url:#_ftnref1 Article 6, 1.d) du RGPD
[[2]]url:#_ftnref2 Considérant 46 du RGPD

En pratique, un établissement ou un professionnel de la santé a la possibilité de recueillir les données sensibles d’un patient sans son consentement lorsque la sauvegarde de ses intérêts vitaux ou des tiers s’impose.
L’exception permettant de collecter des données à caractère personnel et notamment des informations sensibles sans qu’il ne soit nécessaire de requérir un quelconque consentement s’applique à l’égard de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé.

4. L’EXECUTION D’UNE MISSION D’INTERET PUBLIC

De surcroît, la survenance d’une collecte de données lorsque « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »[[1]]url:#_ftn1 dispense de recueillir le consentement des personnes concernées.
 
[[1]]url:#_ftnref1 Article 6, 1.e) du RGPD

Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible.
En outre, « le fait, pour le responsable du traitement, de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels ou dans plusieurs cas relatifs à une même infraction pénale ou à des mêmes menaces pour la sécurité publique devrait être considéré comme relevant de l'intérêt légitime du responsable du traitement. »

5. L’INTERET LEGITIME

            Enfin, la survenance d’une collecte de données lorsque « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers »[[1]]url:#_ftn1 dispense de recueillir le consentement des personnes concernées.
 
Alors que la loi de 1978 précisait que la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire ne devait pas « méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée »[[2]]url:#_ftn2 , le RGPD va plus loin en introduisant un rapport de supériorité qui, au détriment de l’intérêt légitime du responsable du traitement, fait prévaloir « les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. ».
Afin de déterminer quels sont les intérêts à faire prévaloir entre ceux du responsable du traitement et ceux de la personne concernée, il importe de tenir compte de leurs « attentes raisonnables … fondées sur leur relation ».
En d’autres termes, faisant suite à une évaluation attentive permettant de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée, « les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. ».[[3]]url:#_ftn3
En outre, le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné.
 
[[1]]url:#_ftnref1 Article 6, 1.f) du RGPD
[[2]]url:#_ftnref2 Article 7, 5° de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[[3]]url:#_ftnref3 Considérant 47 du RGPD

Cette exception d’intérêt légitime tend à contredire l’article L34-5 du Code des postes et des communications électroniques mettant en exergue le fait que « la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé. ».
  • L’article 16 relatif aux communications non sollicitées de la proposition de règlement e-privacy étend cette règle à la prospection auprès des sociétés: « Les personnes physiques ou morales peuvent utiliser les services de communications électroniques pour l'envoi de communications de prospection directe aux utilisateurs finaux qui sont des personnes physiques. »

Par conséquent, l’exception d’intérêt légitime du responsable de traitement peut être employée par une personne physique ou morale aux fins de collecte de données à caractère personnel dans le cadre de la prospection directe, sans avoir à recueillir le consentement des personnes concernées, dans la mesure où l’intérêt en jeu est licite.
Pour ce faire, il faut que la collecte envisagée soit nécessaire et proportionnée à la réalisation de l’intérêt légitime poursuivi, et enfin que les intérêts ou droit fondamentaux de la personne concernée ne prévalent pas sur l’intérêt légitime du responsable de traitement.
En d’autres termes, une personne physique ou morale a la possibilité de collecter des données à caractère personnel sans requérir le consentement des consommateurs potentiels à condition que ce recueil s’insère dans une optique de prospection. Cela signifie qu’une captation de données sans rapport avec cet objectif ne peut pas se prévaloir de l’exception d’intérêt légitime.

III. LE FONDEMENT DE LA LICEITE DU TRAITEMENT

Au sens de l’article 6 du RGPD, puisque « le traitement n'est licite que si, et dans la mesure
où, au moins une des conditions » citées en amont est remplie, cela signifie qu’il serait a priori
permis d’assigner plusieurs exceptions en tant que bases de licéité de la collecte de données à
caractère personnel.
En d’autres termes, le responsable de traitement dispose de la latitude la plus complète afin de
naviguer entre les différentes bases légales. Dans la mesure où les motifs d’intérêt public
permettant la collecte de données sans le consentement des personnes concernées peuvent se
cumuler avec d’autres exceptions telle que celle ayant trait aux intérêts vitaux, il est conseillé
d’éviter d’établir une seule solution afin de recueillir les informations désirées. En effet, si
l’exception unique n’est pas retenue lors du contrôle de licéité du traitement et que le responsable
n’est pas en mesure d’apporter la preuve du consentement, celui-ci peut lui voir être opposé des
amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une
entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant
le plus élevé étant retenu.
Par conséquent, il convient d’éviter ce risque majeur en retenant plusieurs fondements de licéité
du traitement basés sur les exceptions précédemment recensées de telle sorte que si l’une se voit
être écartée, une autre pourra être retenue sans qu’un changement de fondement de licéité ne
puisse être mis en exergue puisque la superposition des exceptions est autorisée par l’article 6 du
RGPD.

 

Auteurs : Olivier de Maison Rouge, Avocat & Adrien GUYOT, juriste Cabinet Lex-Squared



Auteur. Olivier de Maison Rouge, Avocat (domaines de compétences : numérique, protection des données, intelligence économique, droit des affaires).

 

Membre associé www.lex-squared.com
Docteur en droit. Diplômé de Sciences politiques. Conférencier.
Professeur associé à l’Ecole des relations internationales (ILERI) et à l’Ecole de Guerre Economique (EGE), intervenant à l’IHEDN et à l’Ecole Nationale de la Magistrature (ENM).
Membre de la commission permanente « secrets d’affaires » de l’AIPPI, du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE).
Vice-Président de la Fédération Européenne des Experts en Cybersécurité (EFCSE).
Rapporteur du Groupe de travail (Ministère de l’Economie et des Finances) sur la transposition de la directive n°2016/943 du 8 juin 2016 sur le secret des affaires.
 
Auteur d’ouvrages :
Penser la guerre économique. Bréviaire stratégique. VA Editions, 2018
Le droit du renseignement - renseignement d’Etat, renseignement économique, LexisNexis, coll. Actualité, 2016
Le Droit de l’intelligence économique. Patrimoine informationnel et secrets d’affaires, Lamy, coll. Axe Droit, 2012.













Partager ce site

Veillemag : Agenda : 10 octobre 2018, le CNRS organisera la première rencontre avec ses start-up Avec plus de 1 400 entreprises… https://t.co/CW58M90p0e
Jeudi 26 Juillet - 18:01
Veillemag : "Macron à la recherche d'un modus vivendi sur le cyber" "Selon nos informations, la rencontre entre Vladimir Poutin… https://t.co/6n25M37wHo
Mercredi 25 Juillet - 09:41
Veillemag : Mentions Legales https://t.co/zegW90ULVS
Samedi 21 Juillet - 12:21
Veillemag : High School. La Newsletter by Veillemag. Actus • Nominations • Innovations & Creations • Juillet 2018 Les résul… https://t.co/Zp6W5pmFmM
Vendredi 20 Juillet - 19:07