I- La licéité du traitement

La licéité du traitement, principe consacré par le droit nouveau, consiste en une liste à puce précisant les cas de licéité du traitement. Le premier cas est plutôt simple : il définit le traitement comme licite dès lors que l’utilisateur y a consenti, pour une ou des finalités définies et spécifiques, ce concept de spécificité est très important surtout pour les utilisateurs de Facebook : pour chaque finalité, et pour chaque donnée collectée, le site demande maintenant un consentement précis.

Cette obligation de consentement est novatrice en cela qu’elle consiste en un consentement positif, alors qu’il pouvait avant tout aussi bien être effectué a posteriori du traitement. En pratique, il faut donc que l’utilisateur précise, pour chaque donnée, et chaque finalité, son choix concernant cette donnée personnelle ; ce choix doit consister en un “oui” ou un “non”, les anciens sites présumant que vous acceptez une collecte en continuant la navigation sont donc dans l’illégalité.

Le consentement n’est pas forcément la base légale privilégiée lors d’un traitement de données : pour éviter les contraintes de celui-ci, le législateur prévoit de nombreuses exceptions au principe général de consentement. Le traitement peut ainsi être effectué s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée a souscrit. On pense ici particulièrement aux contrats commerciaux, où le traitement, par exemple, de l’adresse de livraison, est évidemment nécessaire à la réalisation du contrat.
Les autres exceptions sont moins importantes et concernent, dans l’ordre (article 6 RGPD) :

- le respect d’une obligation légale : si le responsable du traitement est contraint par la loi à effectuer ce traitement ;

- la nécessité de sauvegarder des intérêts vitaux d’une personne, plus précisément “ de la personne concernée” ; il va de soi qu’un hôpital recevant quelqu’un en urgence ne peut lui demander de consentir au traitement préalablement aux soins ;

- la nécessité d’exécution d’une mission d’intérêt public ; c’est probablement l’exception qui suscitera le plus de doute d’interprétation, étant donné que le sens de “mission d’intérêt public” n’est pas défini par le RGPD ;

- la nécessité du traitement “aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers”; par exemple cela concerne typiquement la justice, qui pourra traiter des informations sur une personne assignée sans son consentement, car la personne qui en assigne une autre en justice possède ici un intérêt légitime.

Précisons enfin que cette notion de collecte loyale des données personnelles est un pilier du nouveau droit européen, car elle détermine si la collecte peut être autorisée, avant même de parler de son traitement. Elle est donc une question à poser en amont : “Ai-je le droit de procéder au traitement?”.

Du point de vue des utilisateurs, cette notion peut ne pas paraître indispensable, mais elle est très importante, en effet, si vos données n’auraient pas dû être traitées a priori, alors elles ne peuvent continuer à l’être.


II- La loyauté de la collecte

Le principe de la collecte loyale existe déjà depuis longtemps en droit français ; il est en effet mentionné à l’article 226-18 du Code Pénal, qui interdit la collecte de données personnelles “par un moyen frauduleux, déloyal ou illicite”.

Selon une jurisprudence de la Cour de cassation (Cass. Crim., 3 nov. 1987, n° 87-83429),est déloyal un traitement consistant, pour une société de recouvrement, à collecter des informations concernant une personne, à partir de ses lettres écrites au propriétaire ou syndic de copropriété, à l’exception évidente de ses informations de contact usuelles.

Aussi, la jurisprudence française (CE, 9 et 10ème chambre, 12 mars 2014, n° 353193, dite “ PagesJaunes ”) , qui devrait rester applicable suite au RGPD, précise qu’une information librement accessible ne peut pas forcément être librement réutilisée, et constitue, sans consentement de l’utilisateur, et hors cas d’exception, une atteinte au principe de loyauté.
PagesJaunes avait en effet “aspiré” les données de millions d’utilisateurs, qu’ils avaient eux-mêmes mis en ligne sur les réseaux sociaux, pour remplir son célèbre annuaire.

Le RGPD, quant à lui, définit clairement ce principe, mais hors de son champ de définitions (Considérant 68,RGPD) : il précise que la personne concernée doit être informée de l’existence et des finalités du traitement ; entre aussi dans cette définition le fait de porter à la connaissance de l’utilisateur les conséquences pour lui s’il refuse ce traitement. En outre, est aussi précisée la possibilité de recourir à des icônes pour faciliter la compréhension par l’utilisateur du traitement et de ses conditions ; cela montre que le Règlement n’est pas formel concrètement puisque la seule chose qui importe est l’information de la personne concernée.


III- Obligation de transparence

L’obligation de transparence incombe au responsable du traitement ; cette obligation se compose en partie du droit à l’information, qui consiste à permettre à la personne concernée de demander à tout moment d’être informé sur les traitements dont ses données personnelles font l’objet (article12, RGPD), ainsi que de pouvoir être informé de la finalité et des modalités du traitement.

Le RGPD énumère un ensemble d’informations devant être obligatoirement communiqué aux personnes concernées; si la collecte est directe, c’est-à-dire qu’elle est effectuée directement auprès de l’utilisateur, il faut fournir ( article 13, RGPD) :

- l’identité et les coordonnées du responsable du traitement et du DPD ;

- si les données sont transmises à un tiers, l’identité de ce tiers ;

- la finalité du traitement et sa base juridique (extrait du principe de licéité ) ;

- l’existence d’un transfert hors UE dans certains cas ;

- la durée de conservation des données (droit à l’oubli ) ;

- un rappel des différents droits des utilisateurs (les six fondamentaux et le droit au recours effectif ).

Les informations à fournir varient légèrement si elles ont été collectées de manière indirecte auquel cas, le dernier point ci-dessus est en effet inapplicable et remplacé par la mention de la catégorie des données concernées ainsi que de la source de ces données.

Enfin, le principe de transparence implique une certaine transparence concernant l’utilisation des données. Le RGPD rappelle, dans son article 22, le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (limitant ainsi le profilage, c’est-à-dire l’analyse informatisée d’un comportement).