Quelle justification faut-il utiliser
lors d'un traitement de données

Selon la loi belge du 8 décembre 1992 relative à la
protection de la vie privée à l'égard des traitements de
données à caractère personnel, on a toujours besoin
d’une justification pour traiter des données personnelles.
La loi contient une liste de motifs.

La justification la plus souvent utilisée pour le traitement des données personnelles est actuellement le « consentement » de la personne concernée.

Il ressort d’une étude du CIPL (Centre for Information Policy Leadership) que jusqu’à 90% des entreprises s’appuient sur le « consentement » comme base de la majorité de leurs traitements.

Il y a également quelques faits dont il faut tenir compte si on utilise la justification du « consentement » et qui échappent souvent aux entreprises. En outre, le nouveau Règlement sur la Protection des Données, qui entrera en vigueur à partir de mai 2018, compliquera davantage encore l’utilisation valable de la justification du « consentement ».

Ci-dessous, nous abordons quelques points qui méritent votre attention :

1. Points importants en rapport avec la justification du consentement

Même s’il y a un consentement, le traitement doit se faire de manière honnête et licite

Même si la personne concernée a consenti, les données qui sont traitées doivent seulement concerner les données qui sont conformes aux objectifs indiqués et ces objectifs doivent être explicitement signalés et autorisés.

Comme sous-traitant, vous devez donc être extrêmement transparent et honnête à l’égard des personnes concernées par rapport au traitement prévu.

Si vous vous appuyez sur le consentement, vous devez, en tant qu’entreprise, recevoir à nouveau le consentement de la personne concernée pour chaque nouvelle forme de traitement, sauf si le futur traitement des données est compatible avec l’objectif original. Vous devez donc, en tant qu’entreprise, pouvoir démontrer que vous avez reçu ce consentement.

Cela échappe souvent aux entreprises. Elles pensent qu’une fois le consentement reçu, les données peuvent être traitées ultérieurement pour d’autres objectifs pour lesquels elles n’ont en fait reçu aucun consentement.

Pourtant, le consentement doit en principe à nouveau être obtenu pour chaque activité de traitement qui n’est pas compatible avec les objectifs originaux décrits et l’entreprise doit, en tant que sous-traitant, pouvoir montrer qu’elle a obtenu le consentement.

Le consentement doit être libre, spécifique, informé et univoque

La justification du « consentement » est rendue plus stricte sous le Règlement sur la Protection des Données (RGDP) puisque le Règlement définit qu’il doit d’agir d’un « consentement » libre, spécifique, informé et univoque pour un ou plusieurs objectifs spécifiques (cela exclut par exemple les silences, une case déjà cochée ou une inactivité comme preuves valables du consentement).

Il doit s’agir d’un véritable choix. La personne concernée doit en d’autres mots pouvoir refuser son consentement ou le retirer sans conséquence préjudiciable. Ainsi par exemple, l’exécution d’un contrat ou la prestation d’un service ne peut pas être rendue dépendante du consentement.

Cela fait que pour les travailleurs, la justification du
« consentement » est contestable. En effet, les travailleurs donneront facilement leur consentement à leur employeur pour le traitement des données à caractère personnel vu le lien d’autorité existant entre le travailleur et l’employeur et donc par peur des conséquences négatives. Par conséquent, le consentement du travailleur ne sera pas considéré comme « libre ».

Quid si la personne concernée retire son consentement ?

Si vous vous appuyez sur le consentement, vous pouvez également être confronté à une personne qui retire son consentement. En conséquence, le traitement de ces données est arrêté, ce qui peut être très difficile si le processus de traitement a été lancé.

2.  L’intérêt légitime comme justification

Cette justification va prendre de l’importance vu les exigences renforcées autour du « consentement » dans le Règlement sur la Protection des Données, mais aussi parce que les entreprises ont souvent simplement un intérêt légitime à traiter.

Le traitement est légitime s’il est nécessaire à la réalisation d’un intérêt légitime du responsable du traitement ou d’un tiers.

Naturellement, l’intérêt légitime du sous-traitant ou le consentement de la personne concernée ne sont pas les seules justifications pour le traitement en vertu du Règlement pour la Protection des Données.

Les quatre autres motifs sont des justifications pour un traitement pour des raisons bien déterminées et il faut utiliser ces motifs s’ils sont à l’ordre du jour.

Cela concerne plus particulièrement :

Le traitement dans le cadre de l’exécution d’un contrat,

Le traitement dans l’intérêt vital de la personne concernée,

Le traitement pour une obligation légale et

Le traitement pour effectuer une mission d’intérêt public.

3.  Conclusion

Le consentement est évidemment encore toujours nécessaire pour pouvoir traiter les données des personnes concernées à des fins de marketing direct, de même que quand vous faites, en tant qu’entreprise, certains traitements qui pourraient tomber en dehors des attentes raisonnables de la personne concernée.

Pour le traitement ordinaire des données à caractère personnel, on est confronté, en cas d’utilisation du « consentement », à plusieurs problèmes qui vont le banaliser et on fera donc plutôt appel à l’intérêt légitime comme justification.

19 décembre 2016

Griet Verfaillie - griet.verfaillie@peeters-law.be

En savoir plus sur ce sujet: inscrivez-vous à notre Newsletter

E-mail *