Dans quelles conditions peut-on fonder son traitement sur l’exécution d’un contrat pour des services en lignes ? Le CEPD a publié son projet de lignes directrices.
Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects
Aux côtés du consentement et de l’intérêt légitime, l’exécution d’un contrat est sans doute la base légale la plus utilisée pour fonder les traitements de données à caractère personnel. Pourtant, l’ex-G29 n’avait jamais publié d’avis dédié à cette base légale. C’est désormais chose faite avec la publication, par le nouveau Comité Européen sur la Protection des Données (CEPD), d’un projet de lignes directrices sur ce sujet.
Le projet se concentre uniquement sur les traitements de données effectués dans le cadre de services en ligne. Le CEPD justifie ce choix en soulignant que les services en ligne sont d’importance centrale dans nos sociétés modernes, et engendrent une prolifération de traitements de données de toute nature, liés plus ou moins directement auxdits services. Dans ce contexte, le CEPD estime nécessaire de poser les conditions dans lesquelles l’exécution du contrat peut être une base légale valide pour les traitements mis en œuvre dans le cadre de ces services.
Les enseignements contenus dans le projet de lignes directrices sont néanmoins largement transposables aux services « hors ligne ».
En premier lieu, il convient de citer les termes de l’article 6(1)(b) du RGPD, objet des lignes directrices : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; »
Le CEPD rappelle que la licéité du recours à une base légale doit être évaluée en tenant compte de l’ensemble des principes posés par le RGPD. En particulier, une attention particulière devrait être portée aux principes de limitation des finalités et de minimisation des données dans le cadre des services en ligne, car les avancées technologiques permettent de démultiplier la collecte de données.
Le CEPD mentionne également que la présence d’un contrat ne signifie pas forcément que tous les traitements gravitant autour de la relation ainsi formée peuvent être fondés sur l’article 6(1)(b) du RGPD. Ainsi pour certains traitements qui ne sont pas réellement nécessaires à l’exécution du contrat, une autre base légale devra être préférée, comme par exemple l’intérêt légitime ou le consentement. Dans ce dernier cas, le CEPD rappelle que la signature du contrat ne vaut pas consentement a un traitement qui, sans être nécessaire à l’exécution du contrat, y est cependant lié. Cela reste vrai même si ledit traitement est prévu et détaillé au sein du contrat : le consentement doit être donné distinctement.
Ensuite – et surtout – le CEPD commente les conditions fixées par l’article 6(1)(b) :
· Dans quel cas le traitement est-il nécessaire à l’exécution d’un contrat ? Le CEPD pose trois conditions :
(i) Le contrat doit exister.
(ii) Le contrat doit être valide. Sur ce point, le Comité insiste sur le fait que la validité du contrat s’apprécie de manière globale, aussi bien du point de vue du droit de la protection des données à caractère personnel que d’autres droits, au premier rang desquels le droit de la consommation.
(iii) Le traitement est objectivement nécessaire à l’exécution du contrat. Afin d’aider les responsables de traitement à évaluer la nécessité objective du traitement, le CEPD propose de répondre aux questions suivantes :
– Quelle est la nature du service fourni à la personne concernée ? Quelles sont ses caractéristiques distinctives ?
– Quelle est la raison d’être exacte du contrat (c’est-à-dire sa substance et son objet principal) ?
– Quels sont les éléments essentiels du contrat ?
– Quelles sont les perspectives et les attentes mutuelles des parties au contrat ? Comment le service est-il promu ou annoncé à la personne concernée ? Un utilisateur ordinaire du service s’attendrait-il raisonnablement à ce que, compte tenu de la nature du service, le traitement envisagé ait lieu afin d’exécuter le contrat auquel il est partie ?
Après la fin du contrat, l’article 6(1)(b) ne peut logiquement plus être utilisé si des traitements continuent d’être mis en œuvre. D’autres bases légales peuvent alors être valablement choisies, comme le respect d’obligations légales (ex : conservations à des fins administratives) ou l’intérêt légitime (ex : défense en justice).
· Dans quels cas le traitement est-il nécessaire à l’exécution de mesures précontractuelles prises à l’initiative de la personne concernée ?
Sur ce point, le projet de lignes directrices se contente simplement de rappeler que les opérations de prospection directe ne peuvent être considérées comme étant « des mesures précontractuelles prises à l’initiative de la personne concernée », ce qui paraissait aller de soi.
La notion de mesures précontractuelles mériterait pourtant des développements et des exemples plus fournis, car il est en pratique assez difficile de savoir à partir de quand les échanges entre un responsable de traitement et une personne concernée deviennent des « mesures précontractuelles » au sens du RGPD.
Un seul exemple est donné : lorsque la personne concernée renseigne son code postal afin de déterminer si un service particulier est disponible dans sa région. Cet exemple laisse entendre une acception très large de la notion de mesure précontractuelle, ce qui mériterait cependant d’être confirmé.
Enfin, le CEPD livre quelques exemples de traitements spécifiques pour lesquels l’article 6(1)(b) peut, ou ne peut, pas, être utilisé :
· Traitements relatifs à « l’amélioration des services » : non. Le Comité considère que ces traitements ne sont pas directement nécessaires à l’exécution du contrat. En effet, celui-ci porte sur les services tels qu’existants, et non sur leurs possibles améliorations.
· Traitements relatifs à la prévention des fraudes : non. Le Comité cite plutôt les bases légales de « respect d’obligation légale » ou « d’intérêt légitime ».
· Traitements relatifs à la publicité ciblée : non. Sans surprise, le CEPD estime que, même lorsqu’un service est partiellement financé par la publicité, le contrat passé par la personne concernée pour y accéder ne porte pas sur le fait de recevoir de la publicité ciblée.
· Traitements relatifs à la personnalisation des contenus : peut-être. Tout dépend de la nature du service. Le Comité donne l’exemple d’un site d’agrégation d’actualités dont l’objet est de présenter des contenus personnalisés. Dans ce cadre, l’article 6(1)(b) peut tout à fait fonder le traitement de personnalisation.
La consultation publique relative à ce projet s’est achevée le 24 mai 2019. Il sera intéressant de suivre la publication de la version finale, en particulier concernant la notion de « mesures précontractuelles » qui ne font actuellement pas l’objet de vrais développements.