Le Consentement sous la Directive 95/46 et le RGPD
Une analyse comparative des exigences et des changements
Pour les PME-TPE, l'annonce de l'entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n'est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n'ont pas des ressources internes suffisantes.
En bien des points le RGPD reprend des dispositions de la directive 95/46, mais son enseignement sera-t-il conservé après mai 2018 ?
Le RGPD organise de subtils équilibres entre les modalités du consentement de la personne concernée à l'accès aux données personnelles la concernant, la finalité de cet accès et la nature des données concernées. Des solutions existaient avec la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Mais ces solutions seront-elles encore applicables à partir de mai 2018 ?
Données à caractère particulier : ce qui change
Pour certaines données, le RGPD prévoit un régime d'interdiction sauf certaines exceptions expressément prévues. Parmi ces exceptions - c'est-à-dire la finalité du traitement - figure l'action en justice.
Article 9 du RGPD - Traitement portant sur des catégories particulières de données
L'article 9.1 du RGPD interdit le traitement des données à caractère personnel qui révèle :
- L'origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques
- L'appartenance syndicale
- Les données génétiques
- Les données biométriques aux fins d'identifier une personne de manière unique
- Les données concernant la santé
- Les données concernant la vie sexuelle ou l'orientation sexuelle
Ces interdictions peuvent être levées dans des cas précis énumérés à l'article 9.2, notamment :
"f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;"
Parallèle avec l'article 8 de la directive 95/46
De telles données étaient déjà placées sous un régime d'interdiction d'accès à l'article 8 de la directive 95/46 du 24 octobre 1995, avec le tempérament de l'action en justice au point e :
| Directive 95/46 (Article 8.2.e) | RGPD (Article 9.2.f) |
|---|---|
| Le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. | Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle. |
Principes relatifs à la légitimation des traitements : Article 7 de la directive 95/46
Pour les données non particulières, qu'en est-il ? Leur accès est-il limité au consentement de la personne concernée même quand un tiers veut engager une action en justice et qui pour cette action a besoin de cette donnée personnelle ?
L'article 7 de la directive 95/46 disposait :
"Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
[...]
f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1."
Jurisprudence clé : Arrêt de la Cour de justice du 4 mai 2017
Les faits
Un simple accident matériel de la circulation en Lettonie : le passage d'un taxi en ouvrant sa portière heurte un tramway. La compagnie de tramway, s'étant vue refuser toute indemnisation par l'assurance du taxi, souhaite engager une procédure civile contre le passager.
La compagnie de tramway obtient de la police les nom et prénom du passager du taxi, mais un refus lui est opposé concernant son adresse et son numéro d'identification. La compagnie dépose un recours contre ce refus, recours accepté qui fait l'objet d'un pourvoi en cassation par la police.
L'interprétation de la Cour
La Cour de justice rappelle trois conditions cumulatives pour qu'un traitement de données à caractère personnel soit licite selon l'article 7, sous f), de la directive 95/46 :
- La poursuite d'un intérêt légitime par le responsable du traitement ou par le tiers auquel les données sont communiquées
- La nécessité du traitement des données pour la réalisation de l'intérêt légitime poursuivi
- La condition que les droits et libertés fondamentaux de la personne concernée ne prévalent pas
La Cour conclut que :
"L'article 7, sous f), de la directive 95/46/CE [...] doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile [...]. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national."
Implications pour le consentement après le RGPD
Si la directive n'obligeait pas cette communication de données personnelles à un tiers pour qu'il engage une action en justice, l'accord de la personne concernée était requis sauf si une loi nationale en avait disposé autrement.
Comme le RGPD s'applique sans loi de transposition et qu'il souhaite une application uniforme dans l'ensemble de l'Union, l'accès à ces données personnelles nécessaires à une action en justice devrait être toujours conditionné à l'accord de la personne concernée si effectivement l'enseignement de la jurisprudence antérieure est maintenu après mai 2018.
Considérations pour les PME et TPE
Pour les entreprises, en particulier les PME et TPE qui disposent de ressources limitées, il est essentiel de comprendre ces subtilités. Le RGPD reprend en grande partie les principes de la directive 95/46, mais avec des nuances importantes concernant le consentement et l'accès aux données personnelles.
La mise en conformité nécessite une analyse approfondie des processus de traitement des données et une vérification des bases juridiques invoquées pour chaque traitement.