Focus sur la licéité liée à l’exécution d’un contrat

Pour rappel, pour qu’un traitement de données personnelles soit licite il doit reposer sur une des bases légales énoncées à l’article 6 du RGPD – consentement de la personne concernée, respect d’une obligation égale, traitement « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré contractuelles prises à la demande de celle-ci ».

Pour cette dernière, le CEPD a émis des lignes directrices analysant et évaluant la nécessité du traitement des données personnelles pour la conclusion et l’exécution d’un contrat. Même si les lignes directrices portent sur les contrats de services en ligne, l’analyse peut-être généralisée et les bonnes pratiques énoncées peuvent s’appliquer dans tous les domaines.

Les services sont-ils intrinsèquement liés à l’objet du contrat ? Sont-ils clairement annoncés à la personne concernée ? Sont-ils attendus par le client ?

Pour y répondre il va falloir tenir compte aussi bien des objectifs du responsable de traitement mais surtout des attentes raisonnables de la personne concernée (Considérant 50 du RGPD).

Il est possible, suite à cette analyse, de déduire quelques points qui pourront vous aider dans l’utilisation de cette base juridique :

  • Il n’est pas envisageable de baser un traitement de recrutement sur l’exécution de mesures pré-contractuelles (liées au futur contrat de travail). En effet, cela n’est vrai que pour le candidat qui sera effectivement retenu (si tant est qu’il y en ai un)
  • Si vous traitez les données des clients avec pour finalité la prévention de la fraude, il ne sera pas possible de considérer que cela est nécessaire à l’exécution du contrat. Dans ce cas, en fonction des contrats, il faudra soit aller chercher l’obligation légale soit l’intérêt légitime du responsable de traitement
  • Idem, dans le cas du profilage il sera probablement nécessaire d’aller chercher un consentement préalable
  • En fin de contrat, le RGPD impose la suppression des données puisqu’il apparait excessif que la conservation soit nécessaire à l’exécution de ce contrat si il est terminé. De ce fait, il faudra, pour justifier la conservation des données s’appuyer sur une obligation légale (par exemple liée aux obligations  de conservations dictées par le code de la consommation) ou pour défendre les intérêts légitimes de l’entité (jusqu’à l’expiration des délais de recours en matière de droit entre autres)

Bien évidemment, cela est loin d’être exhaustif et n’est pas une vérité absolue dans la mesure où des cas particuliers pourront toujours générer des exceptions. L’important étant de se poser les questions et d’y apporter des réponses circonstanciées et justifiées.

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories