General Data Protection Regulation : le concept de licéité du traitement

Nous vous introduisions il y a deux semaines les concepts de donnée personnelle et de traitement. Nous savons désormais qu’une entreprise belge qui effectue un traitement de données personnelles doit se conformer au règlement.

Cette seconde étape a pour but de préciser les conditions de la licéité du traitement. Dans les prochaines semaines, nous reviendrons sur les mesures organisationnelles à adopter ainsi que sur les grands principes qui sont également introduits par ce règlement et qu’il faudra respecter pour être « GDPR compliant ».

L’article 6 du GDPR nous énonce que le traitement des données ordinaires ne sera licite que dans certains cas résumés ci-après. Le premier cas a déjà fait couler beaucoup d’encre : c’est le fait que la personne ait pu consentir au traitement (éventuellement via un formulaire de consentement, il faut une déclaration ou un acte positif clair). Il est ensuite également possible que le traitement soit nécessaire pour l’exécution d’un contrat ou de demandes de la personne ou qu’une obligation légale rende nécessaire ce traitement. Le traitement peut également être nécessaire à la sauvegarde des intérêts vitaux de la personne, nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ou encore dernièrement, que le traitement soit rendu nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données. Dans ces cas, pour les données ordinaires, le traitement sera conforme au règlement.

En revanche, lorsque les données sont considérées comme sensibles, le traitement est par principe interdit par l’article 9. Des données sont considérées comme sensibles parce que leur traitement révèle selon le règlement l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, porte sur des données génétiques, biométriques ou sexuelles,… Néanmoins le traitement est autorisé dans 10 cas prévus au paragraphe 2 de ce même article. A titre d’exemple, le consentement donné pour des finalités spécifiques pourrait en assurer la licéité. Il en va de même si le droit du travail prévoit un tel traitement, si les intérêts vitaux de la personne doivent être sauvegardés, si les données ont été rendues publiques par la personne concernées,…

Pour terminer, sachez également qu’il existe des données qui demandent un traitement privilégié. Ainsi, par exemple, le traitement de données d’enfants de moins de 16 ans ne peut pas être effectué sans l’accord du titulaire de l’autorité parentale (article 8).

—

Attention : cette note a été rédigée à des fins essentiellement pédagogiques et vise à informer et conscientiser sur l’entrée en vigueur prochaine du GDPR. Elle ne constitue en aucun cas un exposé exhaustif de la réglementation applicable ou du sujet traité. En utilisant les informations contenues dans ce billet, le lecteur renonce à mettre en cause la responsabilité de l’UCM et de l’auteur, même en cas de faiblesse ou d’inexactitude, flagrante ou non, de son contenu.