1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
|
(a) |
la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
|
(b) |
le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; |
|
(c) |
le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; |
|
(d) |
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; |
|
(e) |
le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; |
|
(f) |
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. |
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
|
(a) |
le droit de l’Union; ou |
|
(b) |
le droit de l’État membre auquel le responsable du traitement est soumis. |
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:
|
(a) |
de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé; |
|
(b) |
du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement; |
|
(c) |
de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10; |
|
(d) |
des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées; |
|
(e) |
de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. |
Les données personnelles peuvent toujours être traitées si la personne concernée a donné son consentement.
Toutefois, pour que le consentement soit valable, il doit être volontaire, spécifique, éclairé et sans ambiguïté. Par conséquent, le consentement ne peut être donné implicitement, et aucune conséquence négative ne doit être attachée au fait de ne pas donner son consentement.
Il devrait toujours être possible de retirer son consentement. Le consentement n’est donc que parfois la base juridique la plus appropriée. En outre, si vous avez lancé un traitement fondé sur le consentement, vous êtes généralement lié par la finalité pour laquelle la personne concernée a été informée lorsque vous avez obtenu le consentement.
Le terme “consentement” est également largement utilisé, et sa signification et ses conditions de validité peuvent varier. Par exemple, le consentement sans protection des données est utilisé dans le domaine des soins de santé, lorsque la personne concernée a été autorisée à refuser le traitement par la loi ou par d’autres moyens.
Toutefois, si vous fondez votre traitement des données personnelles sur le consentement, vous devez respecter les exigences en matière de consentement prévues par le GDPR.
L’article 6, paragraphe 1, point b), du RGPD prévoit que le traitement est licite s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures prises à la demande de la personne concernée avant la conclusion d’un contrat.
En ce qui concerne l’article 6, paragraphe 1, point b), du règlement, le considérant 44 du préambule. 44, le traitement doit être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de sa conclusion prévue.
Le traitement licite des données à caractère personnel est souvent effectué en raison d’une nécessité contractuelle.
Lorsque vous vendez un service ou un produit à un client, vous devez traiter ses coordonnées pour traiter sa demande. Dans ce cas, votre base légale pour traiter leurs données personnelles concernant le RGPD serait l’article 6(1)(b).
L’emploi sera une relation contractuelle ; par conséquent, l’article 6, paragraphe 1, point b), pourrait également être pertinent dans ce contexte.
En particulier, concernant le droit du travail, l’article 88, paragraphe 1, du RGPD prévoit que les États membres peuvent prévoir, par voie législative ou par convention collective, des dispositions plus spécifiques pour assurer la protection des droits et libertés concernant le traitement des données des travailleurs dans le cadre de l’emploi.
L’article 6, paragraphe 1, point c), du règlement prévoit que le traitement est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
En ce qui concerne l’article 6, paragraphe 1, point c), du RGPD, le considérant 45 du préambule indique que si le traitement est effectué en conformité avec une obligation légale à laquelle le responsable du traitement est soumis ou si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement doit avoir une base juridique dans le droit de l’Union ou des États membres.
Le RGPD n’implique pas qu’une loi spécifique soit requise pour chaque opération de traitement.
Une loi peut suffire comme base pour plusieurs activités de traitement de données établies sur une obligation légale incombant au responsable du traitement, par exemple des règles comptables. Il se peut aussi que le traitement soit nécessaire à l’exécution d’une tâche d’intérêt public ou à l’exercice de l’autorité publique.
L’article 6, paragraphe 1, point c), est directement applicable comme base du traitement tant que l’obligation légale découle, par exemple, du droit national.
Toute entreprise ou organisation est tenue de tenir une comptabilité et de présenter ses comptes annuels. Ils devront donc traiter des données à caractère personnel, et l’article 6, paragraphe 1, point c), serait le moyen légal de traiter ces données à caractère personnel.
Définition des intérêts vitaux: On parle d’intérêt vital lorsque l’intérêt revêt une importance substantielle et vitale pour la personne concernée.
L’article 6.1.d du règlement prévoit que le traitement est licite s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne.
En ce qui concerne l’article 6, paragraphe 1, point d), du règlement, le considérant 46 du préambule indique que le traitement de données à caractère personnel nécessaire à la protection d’un intérêt fondamental pour la vie de la personne concernée ou d’une autre personne doit être considéré comme licite.
Traitement de données à caractère personnel fondé sur les données d’une autre personne physique
Les intérêts vitaux ne devraient, en principe, être pris en compte que si le traitement ne peut manifestement pas être fondé sur d’autres motifs juridiques.
Certains types de traitement peuvent servir à la fois des intérêts sociétaux critiques et les intérêts vitaux de la personne concernée, par exemple, le traitement nécessaire pour des raisons humanitaires,
Un hôpital serait autorisé à contacter le partenaire du patient pour entrer en contact avec ce dernier si cela présente un intérêt vital pour la santé du patient. Un intérêt vital pourrait être que le patient soit en attente d’un nouvel organe.
L’article 6, paragraphe 1, point e), du RGPD prévoit que le traitement est licite lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
L’article 6, paragraphe 1, point e), constituerait rarement le motif de traitement des données à caractère personnel pour une entreprise typique, mais plutôt le moyen de traitement licite pour les autorités publiques.
L’article 6, paragraphe 1, point e), est directement applicable comme base du traitement tant que le responsable du traitement exécute une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont est investi le responsable du traitement.
L’article 6, paragraphe 1, point e), n’exige pas nécessairement que la tâche nécessitant le traitement de données à caractère personnel soit explicitement conférée à l’autorité par la loi.
Par exemple, il est naturel que le ministère de l’éducation puisse traiter des données à caractère personnel, même si aucun mandat légal explicite ne lui confie cette tâche. Cela pourrait être le cas, car le ministère serait l’autorité centrale pour une tâche relative à l’inscription numérique et à la demande d’admission aux programmes.
Vous pouvez traiter des données à caractère personnel si cela est nécessaire pour vous, en tant que responsable du traitement, ou pour un tiers, afin de poursuivre un intérêt légitime. Vous ne pouvez le faire que si vous ne passez pas outre les intérêts ou les droits de la personne concernée, qui exigeraient la protection de ses données personnelles, principalement lorsque la personne concernée est un enfant.
Un intérêt légitime peut exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement, par exemple, si la personne concernée est un client ou un employé du responsable du traitement.
L’existence d’un intérêt légitime nécessite une évaluation minutieuse, où vous devez prendre en considération le moment et le contexte de la collecte des données personnelles.
Une personne concernée doit raisonnablement s’attendre à ce que le traitement à cette fin puisse avoir lieu. En particulier, les intérêts et les droits fondamentaux de la personne concernée peuvent prévaloir sur les intérêts du responsable du traitement si les données à caractère personnel sont traitées dans des circonstances où la personne concernée ne s’attend pas raisonnablement à un traitement ultérieur.
Le traitement des données à caractère personnel qui est strictement nécessaire pour prévenir la fraude constitue également un intérêt légitime du responsable du traitement concerné.
Le traitement des données personnelles à des fins de marketing direct peut également être considéré comme un intérêt légitime.
Les responsables du traitement qui font partie d’un groupe ou d’institutions affiliées à un organisme central, peuvent avoir un intérêt légitime à divulguer des données à caractère personnel au sein du groupe à des fins administratives internes, y compris le traitement des données à caractère personnel des clients ou des employés, selon le considérant du préambule n°. 48.
Enfin, le considérant n°. 49 du préambule indique que le traitement des données personnelles dans la mesure strictement nécessaire et proportionnée pour assurer la sécurité des réseaux et de l’information constitue un intérêt légitime du responsable du traitement.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!
