Et suis-je autorisé à traiter ces données personnelles ?

31 janvier 2021 | dJ Talks

Pas seulement comme ça. Vous ne pouvez traiter des données à caractère personnel que s’il existe une base juridique pour le faire. Dans le jargon de la vie privée, on appelle cela « motifs de traitement ». GelHeureusement, il existe de nombreux motifs de traitement. Nous les énumérons ici, et donnons quelques explications sur les plus courantes.

Motifs de traitement ?

Au moins un des motifs de traitement suivants doit être présent lorsque vous souhaitez traiter des données à caractère personnel :

  • Consentement de la personne concernée ;
  • Nécessité de l’accord auquel la personne concernée est partie ;
  • Nécessité du respect d’une obligation légale du responsable du traitement ;
  • Nécessité de protéger les intérêts vitaux de la personne concernée ou d’une autre personne ;
  • Nécessité pour l’accomplissement d’une mission d’intérêt général ou pour l’exercice de l’autorité publique confiée au responsable du traitement ;
  • Intérêt légitime.

Consentement

Cela semble logique : le traitement des données à caractère personnel peut être fondé sur le fait que la personne concernée donne son autorisation. Mais est-ce si simple ?

Tout d’abord, la personne qui donne son consentement doit comprendre ce à quoi elle consent exactement. En d’autres termes, le consentement doit être éclairé. Cela signifie que le responsable du traitement doit fournir à l’avance à la personne concernée des informations complètes et claires, formulées dans un langage compréhensible.

Deuxièmement, le consentement doit être spécifique, ce qui signifie que la personne concernée donne son consentement au traitement de ses données dans un but précis. Le responsable du traitement devra donc expliquer à quelles fins les données seront collectées. Le traitement des données à des fins multiples ne sera valable que si la personne concernée a donné son consentement pour chacune de ces fins.

Troisièmement, le consentement doit être libre. La personne concernée doit avoir un choix réel de refuser ou d’accepter.

Enfin, le consentement doit être sans ambiguïté. Cela implique que la personne concernée doit accomplir un acte positif clair qui lève tout doute sur son intention de consentir. Un tel acte positif peut être une déclaration écrite ou orale, mais aussi une action spécifique telle que cocher une case sur un site web.

Avec une case cochée au préalable, par exemple, il n’est pas question d’un acte actif, à la suite duquel le consentement ne sera pas valablement donné.

Nécessaire pour le contrat

Vous pouvez traiter les données à caractère personnel d’un cocontractant dans la mesure où cela est nécessaire pour pouvoir exécuter le contrat. Il est donc important que la personne concernée soit partie à l’accord ! Si ce n’est pas le cas, vous devrez invoquer un autre motif de traitement (par exemple, le consentement ou un intérêt légitime). Ce motif de traitement doit être appliqué strictement, car il ne permet que le traitement des données à caractère personnel qui sont réellement nécessaires à l’exécution normale de l’accord. Cela dépendra de chaque contrat.

Lorsque, par exemple, un client achète des biens en ligne, le vendeur ne sera autorisé à traiter que les données nécessaires pour livrer les biens et garantir le paiement. Dans ce cas, il s’agira du nom, de l’adresse et des coordonnées de la carte bancaire du client.

Même si aucun contrat n’a encore été conclu, ce motif de traitement peut déjà être invoqué lors de la phase précontractuelle. Ceci à la condition que la personne concernée demande, de sa propre initiative, que certaines mesures soient déjà prises.

Par exemple, lorsqu’un client potentiel demande un devis pour la fourniture d’un service. Les données à caractère personnel nécessaires à cette fin peuvent alors être traitées. La partie responsable du traitement ne sera donc pas autorisée à traiter de sa propre initiative les données du client potentiel à des fins de marketing direct pendant la phase précontractuelle.

Intérêt légitime

Il est très populaire d’invoquer l’intérêt légitime. Cependant, il n’est pas si évident d’invoquer ce motif pour le traitement : trois conditions doivent être remplies !

Tout d’abord, vous devez avoir un intérêt justifié en tant que responsable du traitement, ou en tant que tiers. En d’autres termes : une bonne raison. Cet intérêt ne peut pas être simplement hypothétique ; il doit être clair, existant et actuel. En outre, votre intérêt doit être justifié : cela signifie que vous devez le poursuivre d’une manière qui soit conforme à la fois aux règles de protection des données et aux autres réglementations pertinentes.

Exemples d’intérêt légitime : traitement de données pour prévenir la fraude, pour assurer la sécurité des réseaux et des informations des systèmes informatiques d’une entreprise ou, sous certaines conditions, à des fins de marketing direct.

Deuxièmement, le traitement des données à caractère personnel doit être réellement nécessaire à la réalisation de cet intérêt légitime. Et c’est souvent là où le bât blesse. S’il existe des moyens moins ambitieux de réaliser votre intérêt légitime, alors il n’y a pas de nécessité et vous ne pourrez pas vous rabattre sur ce motif juridique d’intérêt légitime.

Troisièmement, il doit toujours y avoir une mise en balance des intérêts : vous devez mettre en balance votre intérêt (ou celui des tiers) avec l’intérêt de la personne concernée. Une règle de base importante consiste à vérifier si la personne concernée peut s’attendre à ce que vous traitiez des données à caractère personnel.

Dans cette mise en balance, vous devrez également tenir compte du « poids » de votre intérêt légitime en tant que responsable du traitement des données, d’une part, et de l’impact du traitement sur les droits et libertés de la personne concernée, d’autre part.

Vous ne pouvez donc invoquer cette base juridique que si les intérêts de la personne en question ne l’emportent pas sur les vôtres.

Par exemple, lorsque vous rendez des données publiques (les rendre accessibles à un grand nombre de personnes) ou lorsque vous traitez une grande quantité de données à caractère personnel, l’impact sur les droits de la personne concernée pourrait être trop important. Toutefois, en prenant des mesures supplémentaires, vous pouvez en réduire l’impact.

Conclusion ?

Ce n’est pas comme si nous pouvions traiter des données personnelles parce que nous pensons qu’elles sont utiles et que nous n’avons pas de mauvaises intentions. Au contraire, chaque traitement de données à caractère personnel mérite et nécessite une réflexion approfondie : existe-t-il une base juridique ? Et qu’est-ce que ce serait ?

La réponse n’est pas toujours facile. Si vous avez besoin de conseils à ce sujet, vous pouvez toujours nous contacter à l’adresse hallo@dejuristen.be.

Rédigé par Larissa De Keyser, Trainee lesJuristes, Duygu Öztürk CIPP/E, Privacy Chair lesJuristes et Kris Seyen, Partner lesJuristes

Nos services

Technologie de l’information

Propriété intellectuelle

Vie privée

e-Compliance