Registre des traitements : l’exception relative au TPE/PME

Registre des traitementsS’agissant de l’exception à l’obligation de tenir un registre des traitements pour les entreprises de moins de 250 salariés, le G29 a publié son interprétation (1).

L’article 30, 5°, du RGPD prévoit que l’obligation de tenir un registre des traitements ne s’applique pas à une entreprise ou une organisation comptant moins de 250 salariés.

Une exception applicable aux TPE/PME

Cette exception comporte elle-même des exceptions. Ainsi une entreprise de moins de 250 salariés devra tenir un registre des traitements dans trois situations :

  • Si le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et libertés des personnes concernées,
  • S’il n’est pas occasionnel ou
  • S’il porte sur des catégories particulières de données visées à l’article 9 du RGPD (données relatives à la santé, données biométriques, etc.) ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Face aux difficultés d’interprétation de cette disposition, le G29 vient de publier une position relative à l’interprétation de cette exception.

Les critères de cette exception

Le G29 rappelle que les critères excluant l’application de cette exception sont alternatifs et que la survenance de l’un d’entre eux suffit à maintenir l’obligation. Ainsi, un responsable de traitement ou un sous-traitant ayant moins de 250 collaborateurs mais procédant à des traitements susceptibles de comporter un risque pour les personnes, ne pourra bénéficier de cette exception.

Le G29 prend également l’exemple d’une TPE traitant des données relatives à ses collaborateurs à des fins de gestion des ressources humaines. Ces traitements, dans la mesure où ils ne sont pas occasionnels, devront figurer dans le registre des traitements. Les autres traitements occasionnels pourront eux en être dispensés sous réserve de ne pas rentrer dans les deux autres critères excluant l’application de l’exception.

Le registre des traitements : un outil

Le G29 rappelle également que la tenue du registre des traitements est un outil pratique pour analyser les traitements existants ou futurs et permet la mise en place de mesures de sécurité appropriées.

Enfin, le groupe de l’article 29 rappelle son interprétation de la notion de traitement occasionnel figurant dans les lignes directrices relatives à l’article 49 du RGPD (2). Ainsi un traitement ne peut être considéré comme occasionnel que s’il n’est pas effectué de manière régulière et intervient en dehors du cours normal des activités du responsable du traitement ou du sous-traitant.

Aurélie Banck
Lexing Conformité RGPD Banque Assurance

(1) Position Paper related to article 30(5)
(2) Guidelines on Article 49 of Regulation 2016/679 (wp262)




Règlement UE protection des données et balance des intérêts (suite)

Si l’article 6 du règlement 2016/679 vise comme base légale du traitement les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ce fondement ne pourra être retenu que si le résultat du test de la balance des intérêts le permet (1).

La Cnil a d’ores et déjà dégagé des critères d’appréciation à prendre en compte dans le cadre du test de la balance des intérêts.

Balance des intérêts dans la décision Google

Pour justifier la combinaison des données des utilisateurs de tous ses services, Google (2) a plaidé son intérêt légitime pour garantir aux utilisateurs « la meilleure qualité de service possible ». Le moteur de recherche a soutenu que ses intérêts « convergent avec ceux de l’utilisateur qui souhaite pouvoir utiliser ses services et bénéficier de la meilleure qualité disponible, si bien que, leurs intérêts respectifs se rejoignant, les siens propres ne peuvent qu’être qualifiés de légitimes ».

Si la Cnil a reconnu que « l’amélioration de la qualité de ses services relève incontestablement des intérêts de la société qui peuvent être qualifiés de légitimes au sens de la loi ». Elle relève que « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables ».

Elle en conclut donc que la combinaison d’autant de données « est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée ».

Ainsi, dans le cadre de l’analyse de la balance des intérêts la Cnil considère que si Google a effectivement développé des outils visant à permettre aux utilisateurs d’exercer un contrôle sur la collecte et le traitement de leurs données, « que leur portée et leur présentation ne sont pas de nature à rendre ce contrôle effectif pour l’ensemble des utilisateurs, quel que soit leur statut ».

En outre, la Cnil précise que : « contrairement à ce que soutient la société, les droits dont bénéficient les utilisateurs ne leur confèrent pas un large pouvoir de contrôle sur le principe même, le moment de la fourniture de données et sur la manière dont celle-ci sont utilisées et ne lui permettent (pas) de modifier, restreindre ou mettre un terme au traitement de ses données » pour conclure que la société ne peut se prévaloir, d’un juste équilibre entre son intérêt légitime et les droits fondamentaux de ses utilisateurs.

Balance des intérêts dans la décision Facebook

Dans la décision Facebook (3), la Cnil a également reproché à Facebook de procéder à une combinaison massive de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi informatique et libertés.

Il convient de signaler que la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.

Après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, la Cnil conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où notamment elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

Balance des intérêts : multiplier les garanties et mesures pertinentes

Compte tenu de ce qui précède, les principaux enseignements de la décision Google sont qu’en matière de poursuite d’un intérêt commercial (animation, prospection, etc.), il est nécessaire notamment de multiplier les garanties et mesures pertinentes par le responsable de traitement pour parvenir à faire pencher la balance des intérêts du côté de l’intérêt légitime du responsable :

  • Limitation stricte des données traitées ;
  • Mesures techniques et organisationnelles pour interdire que les données servent à la prise de décision ou de mesures à l’endroit des personnes (séparation fonctionnelle) ;
  • Technique d’anonymisation/pseudonymisation ;
  • Agrégation des données ;
  • Transparence renforcée ;
  • Droit d’opposition général et inconditionnel ;
  • Gestion contractuelle ;
  • Mécanisme fonctionnel permettant aux clients d’accéder à ses propres données et de les modifier.

Céline Avignon
Lexing Publicité et marketing électronique

(1) Voir notre précédant post du 14-9-2016.
(2) Cnil, Délib. 2016-054, 10-3-2016, Google Inc.
(3) Cnil, Délib. 2016-007, 26-1-2016, Facebook Inc et Facebook Ireland.




Règlement UE protection des données et balance des intérêts

Règlement UE protection des données et balance des intérêts (1)Le règlement 2016-679 sur la protection des données abandonne le principe du recueil du consentement comme base légale du traitement. Il défini à l’article 6 les conditions de licéité d’un traitement en conférant aux différentes conditions qu’il détermine, la même valeur.

C’est ainsi que la condition relative au consentement est traitée comme la condition relative à la poursuite par le responsable de traitement d’intérêts légitimes.

Le responsable du traitement qui envisage de fonder son traitement sur la poursuite d’intérêts légitimes devra s’assurer que les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent pas sur les intérêts légitimes qu’il entend poursuivre.

Pour ce faire, le responsable devra effectuer le test de la balance des intérêts.

Le test de la balance des intérêts

Le test de la balance des intérêts implique d’analyser la légitimité de l’intérêt poursuivi par le responsable de traitement ; en relation avec les intérêts, droits et libertés des personnes concernées. Le groupe de l’article 29 a établi un document de travail sur la notion d’intérêt légitime (WP217, Avis 06/2014) sous l’empire de la directive ; il peut tout à fait servir de référence pour l’appréciation du règlement.

Dans ce document, il précise que : « Pour être pertinent au regard de l’article 7, point f), un « intérêt légitime » doit donc: – être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné) ; – être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis) ; – constituer un intérêt réel et présent (c’est-à-dire non hypothétique) ».

Outre le caractère légitime de l’intérêt poursuivi, il est précisé que le traitement doit être nécessaire à la(aux) finalité(s) visée(s).

Le traitement des données à caractère personnel doit aussi être « nécessaire à la réalisation de l’intérêt légitime » poursuivi par le responsable du traitement ou – en cas de communication des données – par le tiers.

Ainsi, il doit exister un lien entre le traitement et l’intérêt poursuivi. Le but, garantir que le traitement des données fondé sur l’intérêt légitime ne débouche sur une interprétation trop large de la notion. Il y a alors lieu d’examiner s’il existe d’autres moyens protégeant la vie privée susceptibles de servir la même finalité.

Sont donc visés non seulement les droits et libertés de la personne mais également les intérêts entendus de manière large. Tous les intérêts pertinents de la personne concernée devraient être pris en compte.

Les garanties adéquates

Une fois identifié l’intérêt légitime du responsable et/ou du destinataire permettant d’opérer la balance des intérêts, il faut prendre en compte :

  • la nature des données analysées ainsi que leurs modalités de traitement (par exemple, si elles visent à déterminer un comportement ou la personnalité d’une personne) ;
  • les attentes raisonnables de la personne concernées ;
  • le statut de la personne concernée et du responsable de traitement (notamment au regard de la position « prédominante » du responsable de traitement).

Il convient de noter que les garanties et les mesures adéquates prises par le responsable de traitement peuvent influer ; notamment dans le cas d’une ingérence même grave dans la vie privée et d’intérêts impérieux poursuivis par le responsable. Cela peut réduire les incidences du traitement et modifier l’équilibre des droits et intérêts, faisant prévaloir celui du responsable prévaut.

Si les garanties prises ne suffisent pas à justifier à elles seules n’importe quel traitement, elles peuvent en atténuer l’effet. Elles peuvent conduire à faire prédominer l’intérêt du responsable de traitement dans l’analyse de la balance des intérêts.

Céline Avignon
Lexing Publicité et marketing électronique