⚖️ Le principe de liciété en bref

Cet article est de niveau ♨️ Accessible : parfait pour acquérir les bases de la protection des données personnelles, sans pré-requis nécessaire à sa compréhension.

Guide de lecture

Ce blog a été créé avec l’ambition de pouvoir exprimer le point de vue de sa créatrice et des auteurs-contributeurs sur les enjeux, les connaissances-clés et l’actualité concernant la sécurité de l’information et la protection des données personnelles. Les thématiques des publications sont bien sûr choisies en

Mamori DataJoëlie

🟣 En tant que prestataire et formatrice en protection des données personnelles, je remarque forcément des tendances auprès de mes clients ou apprenants, qui ressortent de nos échanges. Par exemple, sans forcément le savoir, le concept de licéité des traitements est au coeur des préoccupations de la plupart de mes interlocuteurs. Et oui, en accompagnement RGPD notamment, je reçois souvent la question “est-ce que j’ai le droit de [insérez le traitement de données personnelles de votre choix] ?” : c’est une façon de s’interroger sur l’application du principe de licéité !

Etant donné que je me prête ici pour la première fois à l’exercice de l’article de blog “En bref” (= moins de 1 000 mots), je vais tenter de survoler utilement le topos, sans pouvoir vous expliquer en profondeur les tenants et aboutissants du principe de licéité, ni les sujets satellites qui peuvent l’affecter. (Oui, je suis en souffrance intellectuelle à l’idée de ne pas pouvoir vous parler de toutes ces choses passionnantes, mais il paraît qu’il vaut mieux une bonne synthèse qu’un long discours, alors allons-y Alonzo : je lance le compteur de mots… maintenant !)

Le principe de licéité, en version (très) rapide

🟣 La licéité, c’est le premier des sept principes relatifs au traitement des données à caractère personnel (listés en article 5 du RGPD). Ce principe est détaillé dans l’article 6, ou l’on apprend qu’un traitement ne peut être licite que s’il remplit une des six bases légales suivantes.

• Consentement de la personne concernée.
• Exécution d’un contrat (ou de mesures précontractuelles) conclu avec la personne concernée.
• Traitement nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis.
• Sauvegarde des intérêts vitaux d’une personne physique (la personne concernée, ou une autre).
• Exécution d’une mission d’intérêt public, ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.
• Traitement nécessaire aux fins d’intérêts légitimes (sous conditions).

Chacune de ces six bases légales comporte des conditions de validité différentes et des conséquences particulières pour les modalités de mise en oeuvre du traitement, mais afin de rester concise (et pour vous encourager à revenir sur ce blog, ou même à vous abonner à ma page LinkedIn), je vous renvoie vers des articles ultérieurs pour en savoir plus !

Mais alors, c’est licite ou c’est légal ?

🟣 Bon, on n’a (vraiment) pas le temps de revenir ici sur les subtilités des distinctions entre légalité et licéité. Je vous précise juste (parce que c’est quand-même important dans notre contexte) qu’un traitement peut très bien respecter le principe de licéité (donc : remplir correctement l’une des six bases légales possibles), mais être en même temps illégal, car il ne respecte pas un autre critère.

Par exemple : mon traitement est mis en oeuvre pour sauvegarder les intérêts vitaux d’une personne, mais je conserve les données sans limitation de durée. J’ai bien respecté le principe de licéité, mais je ne respecte pas le principe de limitation de la conservation, j’enfreins donc la loi. Let’s try again…

L’absence de licéité, c’est plus courant qu’on ne le croit !

🟣 Cela semble peut-être un peu gros (surtout une fois qu’on connaît les bases légales, et sachant qu’il n’y en a que six : un peu difficile de s’y perdre). Et pourtant on croise souvent ce manquement, mais pas forcément sous la forme d’un simple oubli…

Lors de mes accompagnements RGPD les plus élémentaires (qui impliquent par exemple la construction du Registre des Activités de Traitement), un des exercices les moins visibles mais les plus fondamentaux que je réalise est la détermination d’une base légale appropriée et réelle pour chaque traitement de données personnelles. Et dans ces moments, je dois par exemple souvent réexpliquer pourquoi il n’est pas possible de faire appel à certaines bases légales (car les conditions ne sont pas remplies) avant d’orienter vers d’autres, plus sûres.

Quand, placée de l’autre côté de la barrière, je réalise des audits, je constate également qu’il y a souvent confusion sur certaines bases légales. Le contrat par exemple, ne peut justifier le traitement de données personnelles que s’il est conclu avec la personne concernée. Certaines bases légales sont également utilisées sans pouvoir les justifier : le consentement ou l’intérêt légitime sont souvent utilisés comme des jokers, sans s’assurer de leur applicabilité.

Quelques exemples pour la route

🟣 Bien-sûr, je ne peux pas vous donner d’exemples précis pour illustrer les propos ci-dessus (confidentialité, tout ça, c’est important). Mais heureusement (enfin, façon de parler), on en trouve dans la jurisprudence !

Dans les exemples récents, on peut prendre la sanction de Foriou en début d’année 2024. Dans cette affaire, la société n’a pas su d’elle-même déclarer une base légale pour les traitements concernés (ce qui pourrait déjà en soi représenter deux manquements au RGPD). L’autorité a alors examiné les deux seules bases possibles dans leur cas (il s’agissait de prospection téléphonique, donc seuls l’intérêt légitime ou le consentement pouvaient s’appliquer). Après analyse, la CNIL a finalement constaté que les conditions n’étaient réunies pour appliquer aucune de ces deux bases légales, au vu de la façon dont le traitement avait été mené. C’est un exemple (plutôt rare) d’absence totale de base légale.

En juin 2023, il y a également eu la sanction de KG COM, une société de voyance en ligne. Un des manquements a été l’absence de base légale, pour un traitement très précis : la conservation des données bancaires de clients après la réalisation de la transaction. Etant donné que cette conservation a pour but de permettre des achats ultérieurs plus rapides, elle ne peut pas se fonder sur l’exécution du contrat (qui était la base légale utilisée à tort par l’entreprise), mais le consentement. C’est un exemple (beaucoup plus courant) de confusion sur la base légale à utiliser.

🟣 Et voilà pour le principe de licéité en bref ! J’arrête le compteur de mots… 790 ! Et même en comptant l’introduction, 977 mots, donc défi relevé, sous la limite des 1000 mots !

Si vous avez aimé cet article, premier de la série « En bref » de Mamori Data, suivez-moi sur LinkedIn pour être au courant dès que d’autres sortiront !

PS : les données dites « sensibles »

Au fait, les catégories particulières de données personnelles listées en article 9 du RGPD reçoivent un niveau de protection supérieur. Leur traitement est par principe interdit, sauf si l’une des dix conditions listées dans cet article peut être remplie. Mais là, on commence à digresser, donc j’arrête ! … Pour l’instant.