Data Protection and Privacy Law PDF

Summary

This document discusses the legal framework for data protection, specifically focusing on the General Data Protection Regulation (GDPR). It explains the requirements for data processing, consent, and exceptions, including cases of vital interests and public interest.

Full Transcript

Ce fondement ne peut être utilisé que si le traitement des données « ne peut manifestement pas être fondé
sur une autre base juridique » (considérant 46 du RGPD).
Il faut combiner les dispositions avec l’article 9 RGPD (dont les données de santé) relatif aux données à
caractère sensible : on doit appliquer à la fois l’article 6 qui regroupe les fondements à caractériser pour
toute donnée et ledit article 9.
Article 9.2. C) : L’interdiction du traitement de données sensibles ne s’applique pas si « le traitement est
nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique,
38

dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son
consentement ».
= Le champ est plus large que la personne inconsciente, même si on se figure cette hypothèse.
→ Le traitement de données médicales sur le fondement de l’article 9.2 c) ne peut avoir lieu qu’autant :
1) Qu’il existe une impossibilité physique de consentir
2) Qu’il s’agit d’un mineur non doué de discernement
3) Qu’il s’agit d’un majeur inapte à prendre une décision sur sa situation médicale
L’article 6.1 d) n’est pas limité au traitement des données médicales : possibilité d’un traitement sur ce
fondement de données non sensibles (échappant donc à l’article 9).
« Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique ». La partie soulignée est une nouveauté du RGPD.
Le consentement du mineur doit être systématiquement recherché s’il est apte a participer à la prise de
décision selon le CSP. Donc le médecin peut se dispenser de consulter les parents si le mineur s’y oppose.
Donc, de fait, il devrait pouvoir consentir au traitement de ses données.
Pour les majeurs protégés, leur incapacité n’est jamais absolue. L’art. 458 prévoit que l’accomplissement des
actes purement personnels = pas besoin du représentant.
Il faut qu’ils soient incapables de consentir ou non doués de consentement ou qu’il s’agisse d’un majeur
jugé inapte pour qu’on lui demande son consentement. Donc, c’est assez large.
D/ L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique C’est le droit
de l’UE qui détermine la mission pendante à cette catégorie. Le juridique français sera tentée Cas du
traitement relevant de l’exercice de l’autorité publique.
Exemples :

- Base de données des passeports ou des cartes d’identité, le recensement des nationaux d’un pays.
- Base de données contenant les informations nécessaires au prélèvement de l’impôt.

Cas du traitement réalisés par une entité bénéficiant d’une délégation du service public.
Exemples :
- Base de données nécessaires pour que le délégataire d’un service public de l’eau puisse exécuter sa
mission.
E/ Traitement nécessaire aux fins légitimes poursuivies par le responsable de traitement
La difficulté essentielle de ce fondement est que pour être mis en œuvre, il nécessite un fondement de
jugement de proportionnalité.
39

Article 6.1 f) RGPD : « Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le
responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits
fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ».
1. Quel est mon intérêt légitime ?
Le G29, l’ancêtre du RGPD, émettait une distinction entre la finalité et l’intérêt.
La finalité est « la raison spécifique pour laquelle les données sont traitées : le but ou l’intention de leur
traitement » (WP 217, p.26).
L’intérêt est « l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que
la société pourrait tirer – du traitement » (WP 217 p.26). L’intérêt doit être licite, réel et présent.
= C’est pourquoi l’intérêt doit être énoncé de manière suffisamment claire et précise pour permettre une
mise en balance avec les intérêts de la personne concernée. Le responsable de traitement doit documenter
son raisonnement.
Exemples d’intérêts légitimes :
− Sécurité des personnes (ex badging ou vidéosurveillance)
− Prévention de la fraude
− Assurer la sécurité des données
− Gestion administrative interne des données des employés
− La prospection directe.
Action de prospection. La Directive e-privacy du 12 juillet 2002 sur « le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques » (art. 13). Cet
article a été transposé à l’art. L.34-5 du Code des postes et des télécommunications.
Principe : Interdiction de réalisation d’une prospection directe via automate, télécopieur ou courrier
électronique sans consentement préalable.
Exception : une prospection directe est licite si :

− Les coordonnées du destinataire sont recueillies directement auprès de lui {…} à l’occasion d’une
vente ou d’une prestation de services ;
− La prospection directe concerne des produits ou services analogues fournis par la même personne
physique ou morale ;
− Le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de
s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation
de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de
prospection lui est adressé.
Le RGPD, art. 21§2 prévoit un droit à s’opposer a recevoir des publicités.
40

L’intérêt légitime de qui ? C’est le responsable de traitement qui aura un intérêt légitime. Mais le RGPD
prévoit que l’intérêt légitime peut être celui d’un tiers.
G29 Ligne directrice = Diffusion ou communication de données à caractère personnel réalisée dans l’intérêt
de tiers à des fins de transparence et/ou de responsabilité. Mais cela ne concerne pas l’intérêt de la
personne concernée.
Illustration de la concurrence entre le RGPD et les principes antérieurs : liberté d’expression et de
communication c/ le droit au respect de la vie privée.
Le RGPD exclut que les autorités publiques puissent se fonder sur leur intérêt légitime pour mettre en
œuvre un traitement qui relève de l’exécution de leur mission. On a peur que les autorités publiques
multiplient les traitements alors que l’objectif est de les limiter.
2. Le traitement est-il absolument nécessaire ?
La nécessité est un aspect du principe de limitation du traitement
- Il ne faut pas que le recueil de la donnée serve un autre objectif que celui de la finalité présentée. Le RT doit se demander s’il n’existe pas un moyen moins intrusif pour assouvir la finalité considérée.
3. Mise en balance de l’intérêt légitime et des droits et libertés de la personne concernée
Le G29 propose une approche en quatre temps :
a) Appréciation de l’intérêt légitime du responsable du traitement ou du tiers
- Lorsque l’intérêt du RT épouse celui d’un droit fondamental (ex liberté d’expression, liberté
d’entreprendre), l’intersection est de nature à renforcer le poids de son intérêt.
- L’intersection de l’intérêt légitime avec un intérêt public ou un intérêt de la collectivité renforce le poids de
cet intérêt.
- Le fait que le traitement soit permis par le droit d’un Etat ou de l’UE ou encore encouragé par des

orientations non contraignantes renforce le poids de cet intérêt.
- Les attentes culturelles et sociétales peuvent aussi jouer un rôle et renforcer le poids de cet intérêt ou
contre lui (et en faveur des personnes concernées).
b) Incidence sur les personnes concernées
L’incidence doit être comprise de manière très large en ce qu’elle dépasse la notion de préjudice ou de
violation des données. Il s’agit de prendre en compte toutes les conséquences potentielles ou effectives du
traitement des données.
i. Les conséquences négatives doivent être analysées et peuvent être diverses :
- Traitement pouvant conduire à des décisions discriminatoires ou portant atteinte à certaines libertés (ex
atteinte à la réputation, au pouvoir de négociation, à l’autonomie de la personne)
41

- Les répercussions morales résultant d’un sentiment de perte de contrôle sur ses données ou de la
découverte d’une utilisation abusive de ces informations.
ii. La nature des données influe sur l’importance de l’incidence.
iii. La probabilité qu’un risque identifié se concrétise doit être prise en compte (ex potentiel intrusion dans
les données).
- La gravité des conséquences liées à la réalisation du risque doit être prise en compte
iv. Le statut des personnes impliquées doit être pris en compte = plus le responsable de traitement est
important (ex Google), plus il doit faire attention.
Chaque catégorie de personnes peut avoir des problématiques qui leurs sont propres (ex d’un salarié
vulnérable qui ne peut pas se défendre car sinon est viré mais a besoin de son travail, en fonction de l’âge)
c) Balance provisoire
Exercice délicat pour le responsable de traitement qui doit analyser la situation et plus particulièrement la
légitimité de son intérêt à prévaloir au regard de l’attente raisonnable des personnes concernées.
Le G29 donne des exemples de mise en balance :
- Les responsables de traitement peuvent avoir un intérêt légitime à connaitre les préférences de leurs
clients. Mais si le responsable de traitement compile d’importants volumes de données de différents
sites web visités par la personne en reconstituant un profil de cette personne précisément, le RT
(responsable de traitement) dépasse les limites de l’intérêt légitime.
Mais, possibilité d’apporter des garanties supplémentaires pour corriger les problèmes.
d) Garanties supplémentaires
Il est possible de limiter les atteintes et incidences de plusieurs manières :

- Limitations strictes du volume de données collectées ;
- Suppression immédiate des données après utilisation ;
- Mesures techniques et organisationnelles visant à garantir une séparation fonctionnelle ; Utilisation appropriée de techniques d’anonymisation ;
- Agréger les données ;
- Augmenter la transparence ;
- Etc.
Le droit d’opposition inconditionnel (art. 21).
Limite → ø un droit discrétionnaire : il y a une condition pour pouvoir s’opposer : « pour des raisons tenant
à sa situation particulière ».
Une garantie supplémentaire consiste à l’acceptation inconditionnelle de l’opposition, alors qu’en théorie il
aurait dû démontrer que sa situation économique est telle qu’il peut légitimement s’y opposer.
42

Deux autres limites au droit des personnes concernées :
1) Motifs légitimes et impérieux pour le traitement qui prévalent sur les droits et libertés de la personne
concernée
2) La constatation, l’exercice ou la défense de droits en justice
Se prévaloir d’intérêt légitime peut ainsi être périlleux.
Le RT doit documenter son raisonnement.
F/ Le consentement
Le consentement parait être un choix plus sûr. Mais les autorités de contrôle ne voient pas d’un bon œil le
fait de se tourner vers le consentement lorsque l’on peut se baser sur un autre fondement car chaque
fondement a une raison d’être. Le consentement est un fondement exigeant.
1. Avantages
- Le consentement permet de jouer « carte sur table » avec la personne concernée. Il s’agit de l’une des voies d’accès à des traitements particuliers de données.
Exemples :
- Traitements de données sensibles (art. 9.2 a)
- Traitements automatisés, par algorithme, pouvant produire des effets juridiques sur la personne
ou l’affectant de manière significative (art. 22.2 c)
- Il s’agit de l’une des voies d’accès à un transfert en dehors de l’UE/EEE.
- Un autre avantage est la sécurité, à l’abri de l’illégalité du traitement.
2. Les dangers et inconvénients
Le consentement RGPD doit être recueilli selon des modalités qui doivent impérativement être

respectées. Sans ça, privation de base légale du consentement.
1) Le consentement doit être positif = l’objectif est d’empêcher le responsable de traitement de jouer sur le
biais d’inertie.
2) Le consentement doit être libre et réel :
Article 7.4 RGPD = question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un
service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas
nécessaire à l’exécution dudit contrat »
La CJUE a affirmé que le consentement n’est pas donné librement quand les stipulations contractuelles sont
de nature à induire la personne en erreur quant à la possibilité de conclure ce contrat sans consentement
au traitement des données.
Exemples : Les boites de dialogue qui disent qu’il faut accepter pour continuer
43

Question des cookie walls dont l’illégalité est débattue. Le CE invalide une partie des lignes directrices de la
CNIL qui disaient que cette pratique est interdite. Attention à la portée : le CE dit juste que la CNIL produit
du droit souple et n’a pas le droit de poser des règles, a dépassé ses pouvoirs.
Pour le CEPD, les cookie walls sont illicites, mais tant que la CJUE ne dit pas que c’est illicite dans son
interprétation du RGPD, ce ne le sera pas.
La CNIL a déterminé une politique déterminée (2020) contre les cookies et traceurs. Elle procède à des
contrôles, à des mises en demeure.
Exemples :
- La CNIL a prononcé une sanction de 60 millions contre Google, 40 millions contre Google
Irlande et 60 millions contre Amazon.
- Sanctions plus modestes comme Le Figaro de 50 000 euros.
La case de consentement pré-cochée est une violation flagrante du RGPD.
Exemples :
- Google et une sanction à 50 millions.
- CJUE ; 1er octobre 2019 ; Planet 49 = La CJUE a énoncé que le consentement à des cookies n’est pas
valablement recueilli si la case « J’accepte » est cochée par défaut. Le consentement doit être
positif.
3) Le consentement doit être granulaire = l’utilisateur doit pouvoir consentir séparément chacune des
finalités envisagées.
Article 7.2 RGPD = « Si le consentement de la personne concernée est donné dans le cadre d’une
déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée
sous une forme qui la distingue clairement de ces autres questions ».
Exemple : quand on a une cookie box, on doit pouvoir accepter ou refuser chacune des finalités différentes

et il sera possible d’avoir un bouton « Accepter tout ».
4) Exigence de clarté dans l’explication du consentement requis
Article 7.2 RGPD = « La demande de consentement est présentée {…} sous une forme compréhensible et
aisément accessible et formulée en des termes clairs et simples ».
Exemple : Le fait de devoir faire des allers-retours entre différents documents a été jugé contraire au RGPD.
Il faut être plus fin dans la manière de faire
➔ Le consentement peut être retiré.
Article 7.3 RGPD = « La personne concernée a le droit de retirer son consentement à tout moment {…} Le
retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué
avant ce retrait ».

44

Article 7.3 RGPD = « La personne concernée en est informée avant de donner son consentement {…} Il est
aussi simple de retirer que de donner son consentement »
3. Consentement des mineurs
Règle particulière à l’hypothèse de l’offre directe de services de la société de l’information aux enfants (=
internet).
Par principe licite que s’il est âgé d’au moins 16 ans, mais marge de manœuvre des Etats, dans la limite d’un
âge minimal de 13 ans. En France c’est 15 ans.
- Si âge requis non atteint, c’est le « titulaire de la responsabilité parentale » qui doit donner le
consentement.
Hormis Internet, une personne de moins de 18 ans ne peut pas consentir seul à l’exploitation de ses
données, à moins qu’on considère que cela rentre dans les usages de la vie courante.
Nota Bene
Le consentement et la directive Police-Justice
Le Considérant 35 souligne que toutes les fois que les autorités demandent ou ordonnent à des personnes
de livrer des données à caractère personnel, on ne saurait dire que le consentement est une base de
traitement car les personnes n’ont pas le choix.
« Cela ne devrait pas empêcher les Etats membres de prévoir par la loi que la personne concernée peut
consentir au traitement de données à caractère personnel la concernant aux fins de la présente directive,
par exemple pour des tests ADN dans des enquêtes pénale sou le suivi de sa localisation au moyen de
dispositifs électroniques dans le cadre de sanctions pénales (ex le bracelet). »
Ce ne sera pas le fondement du traitement, mais n’exclut pas sa prise en compte.
§2/ Conditions supplémentaires propres aux « catégories particulières de données à caractère personnel

»
Les catégories particulières de données à caractère personnel sont les données sensibles (art. 9 RGPD et 10
Directive). Si les deux textes donnent la même liste de données sensibles, ils différent sur le régime
juridique.
A/ Dans le cadre de la directive
Article 10 Directive = « Le traitement des données à caractère personnel qui révèlent {…} est autorisé
uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés
de la personne concernée, et uniquement :
a) Lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un Etat membre {C’est le cas le plus répandu.
Dans les faits c’est au législateur d’apprécier la nécessité de ce traitement}
b) Pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique {La vie de
la personne est en jeu, mais jusqu’à quel point ?}
45

c) Lorsque le traitement porte sur des données manifestement rendues publiques par la personne
concernée. »
B/ Dans le cadre du RGPD
L’article 9 pose un principe d’interdiction assorti d’exceptions.
Question : est-ce que l’article 9 RGPD doit être compris comme posant des exceptions s’ajoutant à l’exigence
d’un fondement de l’article 6 ou dès lors qu’il y a exception de l’article 9, on peut traiter de données
sensibles ? Question non explicitement réglée par le RGPD.
Le G29 avait étudié cette question dans le cadre de la directive et retient qu’il faut analyser au cas par cas,
cad savoir si en soit l’article 9 prévoit des conditions plus strictes et suffisantes ou s’il y a lieu d’appliquer les
deux articles pour une protection complète des personnes.
Le RGPD ne tranche pas la question et reste dans la même ambiguïté que la directive.
Les autorités de contrôle énoncent la thèse du cumul : en toute hypothèse, il faut avoir un fondement
légal de l’article 6 et caractériser une exception de l’article 9.
Les lignes directrices du CEPD remarquent au sujet de ce cumul qu’il n’y a rien dans l’article 9 correspondant
à l’hypothèse de l’article 6, à savoir les mesures précontractuelles ou l’exécution du contrat. Cas du
fondement de la nécessité pour exécution d’un contrat (art. 6.1 sous b)), il faut utiliser l’exception du
consentement (art. 9.2 sous a)) si aucune autre n’est applicable.
Exemple : On monte une application de rencontre et on a besoin de connaitre les centres d’intérêts. A
priori, c’est nécessaire à l’exécution du contrat. Il faudra demander le consentement de l’article 6.1 et
l’exception du consentement de l’article 9.1.

Ce qui compte n’est pas tant la donnée que le traitement.
Article 9.1 RGPD = « Le traitement des données à caractère personnel qui révèle l'origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale,
ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une
personne physique de manière unique, des données concernant la santé ou des données concernant la vie
sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »
C’est bien le « traitement qui révèle » qui est visé ici, plus que les données.
Cependant, bien que le principe de l’article 9 est que le traitement de ces données sont interdits, il y a une
pluralité d’exceptions :
1) Le consentement explicite de la personne pour une ou plusieurs finalités déterminées, sauf interdiction
légale de consentir.
2) Le traitement nécessaire aux fins de l’exécution des obligations et l’exercice des droits propres au
responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité
sociale et de la protection sociale si ce traitement est autorisé par la loi ou une convention collective.
46

3) Le traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique si la personne concernée ne peut consentir.
4) Le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties
appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et
poursuivant une finalité politique, philosophique, religieuse ou syndicale (si certaines conditions sont
remplies).
5) Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques
par la personne concernée.
6) Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque
fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.
7) Le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou
du droit d’un État membre et pour autant que certaines garanties soient respectées.
8) Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de
l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge
sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection
sociale si autorisé par la loi ou en vertu d’un contrat conclu avec un professionnel de santé pour autant
qu’il soit astreint à une obligation de secret.
9) Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels
que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir
des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs
médicaux.

10) Le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques.
§ 3. Autres traitements particuliers
A. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Article 10 RGPD = « Le traitement des données à caractère personnel relatives aux condamnations pénales
et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être
effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union
ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des
personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le
contrôle de l’autorité publique. »
Champ d’application par rapport à la directive 2016/680.
La directive est la directive relative à la protection des personnes physiques « à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des
infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ».
47

Les traitements de l’article 10 RGPD ne participent pas de la mise en œuvre de la répression pénale, mais
plutôt constatent ou relatent sa mise en œuvre.
La CJUE énonce que : « Les informations concernant une procédure judiciaire menée contre une personne
physique telle que celle relatant sa mise en examen ou le procès et, le cas échéant, la condamnation qui en
a résulté sont des données relatives aux infractions et aux condamnations pénales au sens de l’article 10 ».
=> Procédure judiciaire entendue de manière large, indépendamment du fait que la personne a été
condamnée ou non. L’article 10 RGPD concerne un nombre plus grand de responsable de traitement : il y a
encore plus de gens à commenter le travail de ces autorités.
L’article 10 RGPD concerne :
- Les traitements sous le contrôle de l’autorité publique
- Les responsables de traitement pouvant se prévaloir d’une permission légale si les garanties
appropriées pour les droits et libertés des personnes concernées existent
Hypothèses de traitements licites des données visées à l’article 10 :
1) Traitements sous le contrôle de l’autorité publique :
- Une autorité publique traite des données relatives à des condamnations, mesures de sûreté, mais à
des fins autres que la stricte mise en œuvre du processus pénal. Traitements par les autorités
publiques ne participant pas strictement de la mise en œuvre de la répression pénale
- L’article 46 de la LIL : « Les juridictions, les autorités publiques et les personnes morales gérant un
service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales