Contrat et données personnelles : jusqu’où peut-on aller ?
Publié le 15/05/2019 par Bojana Salovic, Thierry Léonard, Olivia Guerguinov
Le contrat (y compris la phase précontractuelle) est l’une des bases de licéité prévue au GDPR. Si tout le monde comprend intuitivement la notion générale, la pratique montre que sa mise en oeuvre est source de difficultés. Le Comité Européen de la Protection des Données (CEPD) soumet à consultation d’utiles Guidelines à ce sujet. Jusqu’où peut-on aller dans le cadre d’une relation contractuelle dans le traitement des données personnelles ?
Le CEPD a dévoilé ce 9 avril 2019, une proposition de Guidelines relatives au traitement de données fondé sur l’article 6.1.b) du GDPR dans le contexte des contrats en ligne. Au vu du développement important des services en ligne et de la diversité des services proposés, le CEPD a souhaité clarifier la portée de la base de licéité contractuelle. Le texte du CEPD est provisoire et il fait appel aux commentaires jusque fin mai 2019.
Le CEPD précise que ce projet de Guidelines concernent le traitement de données effectué dans le cadre de contrats pour des services en lignes, sans avoir égard à la manière dont ces services sont financés (que le service demande un paiement direct du consommateur, ou qu’il soit fourni gratuitement et financé par les publicités) ; les Guidelines insistent sur le traitement licite en conformité avec l’article 6.1.b) et sur la notion de « nécessité » au vu du traitement nécessaire à l’exécution d’un contrat.
Observations générales
Pour rappel, l’article 6.1.b) GDPR précise que « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».
Cette base de licéité spécifique doit, selon le CEPD, être appréhendée dans le contexte général du GDPR pris dans son entièreté, conformément aux objectifs prévus à l’article 1 et conformément aux principes généraux de l’article 5 GDPR.
L’interaction de l’article 6.1.b) GDPR avec d’autres bases de licéité
Lorsque le traitement n’est pas considéré comme étant « nécessaire à l’exécution d’un contrat », c’est-à-dire lorsque le service en question peut être fourni sans que le traitement en question n’ait lieu, le CEPD reconnait qu’une base de licéité distincte peut être applicable, si les conditions d’application sont réunies. Le CEPD précise ainsi que dans certains cas, il est préférable de se baser sur le consentement ou l’intérêt légitime. La base de licéité doit être identifiée avant le début du traitement et l’information doit être communiquée aux personnes concernées conformément aux articles 13 et 14 du GDPR.
Dans ses précédentes Guidelines concernant le consentement, le CEPD (à l’époque dénommé Groupe 29) précisait déjà que lorsqu’un responsable du traitement souhaite traiter des données à caractère personnel qui sont nécessaires pour l’exécution d’un contrat, le consentement n’est pas la base de licéité appropriée. A raison, il insiste sur la différence de nature entre le consentement donné pour conclure le contrat en question et celui-ci qui est visé par l’article 6.1.a) comme base de licéité du traitement.
Deux cas de figure
L’article 6.1.b) GDPR s’applique lorsque l’une des deux conditions suivantes est rencontrée : le traitement est nécessaire :
- dans le cadre d’une relation précontractuelle ;
- dans le cadre de l’exécution d’un contrat avec la personne concernée.
a) En matière précontractuelle
En matière précontractuelle, le traitement de donnée est fondé si ce dernier est nécessaire avant la conclusion d’un contrat et mis en œuvre afin de faciliter la conclusion du contrat. Le CEPD précise que cette disposition ne couvre pas les communications commerciales non sollicitées émanant exclusivement d’une initiative du responsable du traitement ou d’un tiers. La demande en matière précontractuelle doit toujours émaner de la personne concernée. Ainsi par exemple, une personne fournit son code postal afin de vérifier si un fournisseur de services spécifique est présent sur une zone donnée. Le traitement en question peut alors être considéré comment nécessaire pour répondre à une demande formulée par la personne concernée préalablement à la potentielle conclusion d’un contrat.
Autrement dit, le CEPD paraît bien confirmer que ce n’est pas parce que les moyens de collecte sont a priori mis à disposition de tiers –comme un formulaire de contact disponible sur un site- que l’on ne peut en appeler à la base de licéité précontractuelle. On pense par exemple à une demande spécifique d’informations sur un produit ou service émanant d’un internaute. Ce qui est bannit est de justifier la prise de contact première avec l’internaute par la licéité précontractuelle alors qu’il s’agit en réalité d’un envoi d’une publicité non-sollicitée à la personne concernée.
b) L’exécution du contrat
Un responsable du traitement peut, selon le CEPD, se baser sur l’article 6.1.b) pour légitimer son traitement lorsque, conformément au principe de responsabilité de l’article 5.2., il établit l’existence des conditions suivantes : 1) l’existence d’un contrat avec la personne concernée, 2) ce contrat est valable conformément au droit national applicable et 3) le traitement est objectivement nécessaire pour l’exécution du contrat. Si le responsable du traitement n’est pas en mesure d’établir ces trois éléments, il doit fonder son traitement sur une autre base de licéité.
Pour déterminer si l’article 6.1.b) est une base de licéité appropriée, il convient d’examiner l’objectif principal, la finalité du service fourni à la personne concernée. Le traitement doit en effet être objectivement nécessaire pour une finalité qui fait partie intégrante de la fourniture du service à la personne concernée.
Le responsable du traitement doit être capable de démontrer que l’objet même du contrat ne peut être exécuté si le traitement de données n’a pas lieu. Le lien intrinsèque entre les données à caractère personnel et les opérations de traitement concernées est fondamental.
Afin de déterminer le caractère nécessaire du traitement, le CEPD invite les responsables du traitement à se poser les questions suivantes :
- Quelle est la nature du service fourni à la personne concernée ? Quelles en sont les caractéristiques déterminantes ?
- Quelle est la raison d’être du contrat, à savoir sa substance et son objet fondamental ?
- Quels sont les éléments essentiels du contrat ?
- Quelles sont les attentes des parties au contrat et leurs perspectives mutuelles ? L’utilisateur peut-il raisonnablement s’attendre à ce que ses données à caractère personnel soient traitées afin de lui offrir le service en question ?
Le CEPD prend l’exemple d’un site de vente en ligne. La personne concernée effectue un achat et souhaite payer en ligne par carte de crédit, et obtenir une livraison à son domicile. Afin d’exécuter le contrat, le vendeur doit traiter les données financières (les informations relatives à la carte de crédit ainsi que l’adresse de facturation) à des fins d’exécution du paiement, ainsi que l’adresse de la personne concernée afin de pouvoir effectuer la livraison à domicile. Dans ce cas, l’article 6.1.b) est bien la base de licéité applicable. Si cependant la personne concernée opte pour une livraison dans un point relais plutôt qu’à son domicile, le traitement de l’adresse de la personne concernée n’est plus nécessaire pour l’exécution du contrat et une base de licéité distincte de l’article 6.1.b) est donc le cas échéant requise pour justifier l’utilisation de cette donnée.
c) Que se passe-t-il à la fin du contrat ?
Lorsque le traitement est fondé sur l’article 6.1.b), le responsable du traitement doit se poser la question de savoir comment il pourra légitimer les traitements subséquents en cas de fin du contrat.
En effet, conformément à l’article 17.1.a) du GDPR, les données à caractère personnel doivent être effacées lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Cette obligation n’est cependant pas applicable lorsque les données doivent être traitées à d’autres fins, par exemple afin de se conformer à des obligations légales (article 17. 3.b)) ou pour l’exercice ou la défense de droits en justice (article 17.3.e)).
Le CEPD précise que, si de manière générale, les responsables du traitement doivent conserver des données pour se conformer à certaines de ces obligations, il convient de trouver la base de licéité appropriée (qui ne peut donc être l’article 6.1.b) selon le CEPD) et en informer les personnes concernées, en précisant également la durée de conservation.
Il nous semble qu’ici le CEPD va un peu loin : celui qui contracte avec autrui sait ou doit savoir que les données nécessaires à l’exécution du contrat pourront être utilisées en cas de litige avec son co-contractant et que tout prestataire est soumis à des devoirs d’archivage. Si on comprend qu’une information soit donnée sur les délais de conservation, y distinguer chaque fois une finalité spécifique et une base de licéité propre est selon nous excessif. Il s’agit d’utilisations comprises dans la finalité d’exécution du contrat et qui nous paraissent compatibles avec celle-ci.
Application à certains cas spécifiques
Dans ses Guidelines, le CEPD analyse l’applicabilité de l’article 6.1.b) GDPR à différentes finalités.
a) Amélioration du service
Les services en ligne collectent fréquemment des informations détaillées sur l’interaction des utilisateurs avec le service. Le CEPD considère que l’utilisation de telles données à des fins d’amélioration du service n’est pas objectivement nécessaire à la fourniture du service et que l’article 6.1.b) n’est par conséquent pas une base de licéité adaptée.
b) Prévention de la fraude
Le traitement à des fins de prévention de la fraude peut impliquer une surveillance et un profilage des personnes concernées. Le CEPD considère que cette finalité dépasse ce qui est objectivement nécessaire pour l’exécution du contrat, et il est préférable de lui substituer une autre base de licéité, comme éventuellement une obligation légale ou l’intérêt légitime du responsable du traitement.
c) Publicité comportementale
La publicité comportementale (ou online behavioural advertising) est souvent utilisée afin de financer des services en ligne disponibles gratuitement. Le CEPD considère qu’en règle générale, la publicité comportementale n’est pas un élément nécessaire des services en ligne : on peut en effet difficilement affirmer, selon le CEPD, que le service ne pourrait être fourni sans les publicités. Bien que les publicités servent à supporter le service, le traitement à des fins de marketing direct est différent du but objectif du contrat entre la personne concernée et le fournisseur du service.
Quid si les données sont la contrepartie du service ? Le CEPD aborde à peine ce point pourtant devenu pourtant crucial depuis la prise de conscience que pas mal de services dits « gratuits » (à la « Facebook ») sont en réalité rémunérés par les données des utilisateurs qui, le cas échéant, acceptent de voir leurs données comprises comme la contrepartie du service. Le CEPD, qui se range sans le dire derrière l’approche du Contrôleur Européen (voir l’avis 4/2017), s’oppose en un paragraphe à ce que les données à caractère personnel puissent être considérées comme une marchandise échangeable, ce qui reviendrait selon lui à renoncer à un droit fondamental.
C’est assurément un peu rapide… La contractualisation de la vie privée existe depuis sa protection. Exploiter certaines de ses données ne revient pas à renoncer à ses droits fondamentaux. Un point qui devrait très certainement être discuté et sans doute être abordé de manière plus pondérée.
Le CEPD rappelle enfin qu’en cas d’utilisation de cookies, il convient d’obtenir le consentement préalable des utilisateurs (à ce sujet, notre précédent article ici).
d) Personnalisation du contenu
Le CEPD précise que la personnalisation du contenu peut, dans certains cas spécifiques, constituer un élément essentiel de certains services en ligne, et que le traitement peut donc se fonder sur l’article 6.1.b) du GDPR. Il convient d’analyser au cas par cas le service en question ainsi que la nature de ce dernier afin de vérifier si la personnalisation est un élément intrinsèque essentiel au service, ainsi que les attentes de la personne concernée. Il convient donc de se poser la question de savoir si le service peut être fourni sans la personnalisation en question, ou non.
A titre d’exemple, le CEPD mentionne le cas d’une boutique en ligne proposant une personnalisation des suggestions de produits sur la base du panier d’achat ; la personnalisation n’étant pas nécessaire pour fournir le service de vente, le traitement de données aux fins de personnalisation ne peut se baser sur l’article 6.1.b).
Inversement, un service d’actualités en ligne peut offrir un service de personnalisation aux utilisateurs afin de leur fournir un contenu adapté à leurs centres d’intérêt, en demandant aux utilisateurs de créer un profil en ligne et indiquer leurs préférences. Dans ce cas-ci, le CEPD considère que la personnalisation du contenu peut être considérée comme étant objectivement nécessaire afin de fournir le service en ligne et l’article 6.1.b) est donc bien une base de licéité appropriée.
Conclusion
Par la publication de ce projet de Guidelines, le CEPD adopte un document supplémentaire qui permet assurément d’éclairer une base de licéité souvent mal comprise. La condition de nécessité se perçoit mieux, même si on peut regretter parfois une approche fort stricte de ses conditions d’application.
Une hypothèse de traitement nous paraît devoir être approfondie au vu des perspectives et craintes –légitimes- qu’elle suscite : quid si les données sont la contrepartie, et donc le paiement, du service ? N’est-on pas dans un cas de traitement, collecte, transmission de données –par définition- nécessaire à l’exécution du contrat ? La mise à disposition des données ne constitue-t-elle pas l’obligation principale de l’utilisateur du service ? L’interdiction de principe énoncée de manière lacunaire et sans nuance nous laisse sur notre faim.
Notons enfin qu’un traitement qui ne répond à ces conditions ne rend pas le potentiel traitement illicite ; l’article 6 précise bien, et le CEPD le rappelle à juste titre, que plusieurs bases de licéités potentielles peuvent être utilisées pour justifier un traitement, avant de débuter le traitement de données. Il est d’ailleurs utile -même si cela est contesté par certains- de prévoir le cas échéant plusieurs bases de licéités potentiellement applicables aux traitements concernés, et de toujours veiller à bien en informer la personne concernée.