Le Comité européen de protection des données (CEPD), successeur du G29, a publié ce mois son projet de lignes directrices sur l’utilisation de la base légale « Exécution du contrat ou de mesures précontractuelles » dans le cadre des services en ligne[1].
L’article 6 du Règlement général sur la protection des données (RGPD) exige que tout traitement de données personnelles soit fondé sur une base légale valide, reconnue par le RGPD. Le paragraphe 1 (b) prévoit ainsi la possibilité de traiter des données lorsque cela est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci. »
Le CEPD vient préciser l’application de l’article 6(1)(b) aux services en ligne, à savoir « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services[2] » mais aussi aux services qui ne sont pas payés directement par les personnes qui les reçoivent, tels que les services en ligne financés par la publicité.
Le CEPD entend poser des règles claires et strictes, qui feront à n’en pas douter l’objet d’un contrôle rigoureux de la part des autorités de contrôle…
Cet article résume les points principaux à retenir du projet de lignes directrices.
L’analyse du caractère nécessaire du traitement pour exécuter le contrat ou les mesures précontractuelles doit être stricte, voire intransigeante.
En ligne avec le principe d’accountability, le CEPD attend du responsable de traitement ou du DPO externe, qu’il soit capable de démontrer que l’objet même du contrat conclu ne peut être réalisé si le traitement spécifique des données à caractère personnel en question n’a pas lieu.
Afin d’aider les responsables de services en ligne dans cet examen, les lignes directrices posent 4 questions à considérer:
Dans la mesure du possible, les résultats de cet examen doivent être documentés afin de sécuriser les risques en cas de contrôle.
A contrario, l’article 6(1)(b) ne sera pas la base légale adéquate lorsque le traitement est simplement utile et qu’il est possible d’exécuter le contrat ou les mesures sans y recourir, même si le traitement est réalisé au bénéfice de la personne concernée.
Par exemple, le CEPD considère qu’un e-commerçant ne peut fonder un traitement de prévention de la fraude à la carte bancaire sur l’exécution du contrat de vente : se prémunir de la fraude n’est pas vital à la gestion et exécution de la commande (quand bien même cela bénéficie tant au client qu’à l’e-commerçant).
Le CEPD admet toutefois que des traitements « incidents » liés à l’exécution du contrat, comme la gestion de la garantie contractuelle, reposent sur l’article 6(1)(b). Un abus de cette marge de manœuvre est à proscrire : le traitement jugé « nécessaire » ne peut être artificiellement élargi à des données ou opérations qui ne sont pas essentielles à l’exécution du contrat ou des mesures. Le lien avec le contrat doit être réel et ne peut être forcé.
Une interprétation stricte du caractère nécessaire implique en outre un arrêt du traitement une fois le contrat rempli, rappelle le Comité. Les données devront, en principe, être supprimées à l’issue de l’exécution du contrat et la conservation des données ne peut être fondée sur l’article 6(1)(b).
Le responsable de traitement pourra toutefois conserver les données s’il justifie d’une obligation légale (telle que l’obligation comptable) ou encore d’un intérêt légitime (tel que celui de se prémunir en cas de contentieux). L’existence de ce traitement « ultérieur » et la définition de sa base légale applicable doivent être réfléchies dès le début et notifiée aux personnes, conformément à l’obligation d’information du RGPD.
Le CEPD rappelle également que d’autres bases légales peuvent fonder un traitement « parallèle » à celui nécessaire à l’exécution du contrat.
Par exemple, l’amélioration de l’expérience utilisateur et/ou des services, la publicité ciblée ou encore la personnalisation des contenus, qui doivent être considérés comme des traitements distincts, ne peuvent reposer selon le Comité sur l’article 6(1)(b). Ils pourront en revanche être mis en œuvre moyennant recueil du consentement de la personne concernée, éventuellement l’intérêt légitime du responsable de traitement.
Les responsables de services en ligne sont également invités à la prudence lorsqu’ils décident de « packager » des services ensemble, qui pourraient être fournis indépendamment les uns des autres. Dans ce cadre, une analyse fine doit être menée pour analyser, pour chaque service pris individuellement, quelle est la base légale la plus appropriée.
Les autres principes du RGPD ne doivent bien sûr pas être oubliés, notamment le principe de minimisation, tout comme les conditions juridiques de validité d’un contrat tel que l’âge minimum pour contracter.
Lorsque les services en lignes sont destinés à des mineurs, une attention renforcée doit être apportée au traitement et à ses conditions de mise en œuvre. Si votre service en ligne repose sur le consentement, consultez notre article sur le consentement des mineurs sur internet pour savoir comment gérer la problématique !
Le CEPD invite les acteurs à commenter ce projet avant le 24 mai prochain. Cet article sera mis à jour une fois la version définitive des lignes directrices adoptées.
[1]Retrouvez les lignes directrices (en anglais seulement) ici : https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-22019-processing-personal-data-under-article-61b_en
[2]Article 1(b) de la Directive 2015/1535 sur les services de la société de l’information
Par Justine Caroli