RGPD Article 6 – Liceité du traitement

ia act rgpd europe

en bref :

L’article 6 du RGPD définit les conditions de licéité du traitement des données à caractère personnel, c’est-à-dire les conditions qui doivent être remplies pour que le traitement de ces données soit considéré comme légal.

Le traitement des données à caractère personnel est licite si l’une des conditions suivantes est remplie: la personne concernée a consenti au traitement, c’est nécessaire à l’exécution d’un contrat, c’est nécessaire pour respecter une obligation légale, c’est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, c’est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou c’est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts ou libertés et droits fondamentaux de la personne concernée ne nécessitent une protection des données.

Quels seraient les risques de ne pas faire un traitement licite ?

  1. Risque de poursuites judiciaires : Si le traitement de données à caractère personnel est illicite, les personnes concernées peuvent intenter une action en justice contre le responsable du traitement et demander une indemnisation en cas de préjudice subi.
  2. Risque de dommages à la réputation : Si le traitement de données à caractère personnel est illicite, cela peut entraîner une perte de confiance de la part des personnes concernées et de la société en général, ce qui peut avoir un impact négatif sur la réputation de l’entreprise ou de l’organisation.
  3. Risque de sanctions financières : Dans certains cas, le fait de faire un traitement de données à caractère personnel illicite peut entraîner des sanctions financières, telles que des amendes imposées par les autorités de protection des données.
  4. Risque de perte de clientèle : Si le traitement de données à caractère personnel est illicite, cela peut entraîner une perte de confiance de la part des personnes concernées et de la clientèle en général, ce qui peut avoir un impact négatif sur les affaires de l’entreprise

Checklist

  1. Obtenir le consentement de la personne concernée pour le traitement de ses données à caractère personnel
  2. Vérifier si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande.
  3. Vérifier si le traitement est nécessaire pour respecter une obligation légale à laquelle le responsable du traitement est soumis.
  4. Vérifier si le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
  5. Vérifier si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  6. Vérifier si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts ou libertés et droits fondamentaux de la personne concernée ne nécessitent une protection des données à caractère personnel.

Texte complet

Article 6 – Licéité du traitement

  1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

  1. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
  2. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a) le droit de l’Union; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

  1. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.