Nouveau Règlement vie privée : la réutilisation de données sera-t-elle encore possible ?
Publié le 06/01/2016 par Etienne Wery , Thierry Léonard
Tout praticien de la protection des données personnelles a déjà été confronté au problème du changement de finalité d’utilisation des données. Exemple : elles ont été collectées pour une finalité d’exécution d’un service en ligne (accès à un réseau social ou livraison d’un bien acheté) et on voudrait aujourd’hui les vendre en vue d’alimenter une processus de profilage big data. Les conditions de pareils changements de finalité ont divisé les juristes et organes de contrôle depuis la directive de 1995. Le nouveau règlement semble avoir tranché : la poursuite d’une nouvelle finalité incompatible avec la première est interdite, sauf consentement préalable des personnes concernées.
La problématique
On ne peut pas savoir au moment de la collecte des données personnelles à quoi elles pourront servir dans quelques mois ou années. Surtout dans un contexte d’évolution technologique permanente et de plus en plus rapide.
Le gestionnaire des données est donc un jour ou l’autre tenté d’utiliser les données en sa possession, pour une finalité autre que celle annoncée initialement. Du reste, on rappelle que s’il n’utilise plus les données, le gestionnaire doit les effacer après une période qui dépend de la finalité de départ. Choix cornélien donc : soit j’efface les données si je reste dans la finalité de départ et que celle-ci a été exécutée, soit je les réutilise pour une nouvelle finalité si je souhaite conserver les données.
Les processus de Big data offrent un parfait exemple de la problématique. Les outils de profilage demandent par définition de se nourrir de très nombreuses observations issues de traitements de données divers et variés. La plupart du temps, ces traitements n’ont pas été mis en œuvre pour permettre un processus de profilage. Cette finalité n’était pas prévue initialement (par exemple, l’inscription et la gestion d’un jeu en ligne sur internet ; l’inscription et l’utilisation un site d’échanges en vue de vendre certains biens etc.). La nouvelle finalité est souvent incompatible avec la première et, selon les lois sur la protection des données personnelles, elle est a priori interdite.
Deux interprétations semblaient s’affronter.
· Soit on considérait que la nouvelle finalité incompatible ne pouvait être poursuivie qu’à la condition de recueillir le consentement de la personne concernant la nouvelle finalité d’utilisation des données. Dans notre exemple, le responsable qui veut se relancer dans son projet Big data, doit réinterroger chaque personne afin d’obtenir son consentement explicite sur la nouvelle finalité d’utilisation.
· Soit on admet y voir un nouveau traitement pouvant être poursuivi comme tel, c’est-à-dire en le soumettant à l’intégralité de la protection légale (information des personnes concernant la nouvelle finalité, nouvelles mesures de sécurité ou de sauvegarde si nécessaires, détermination d’une nouvelle base de licéité qui n’est pas forcément le consentement de la personne mais par exemple un équilibre d’intérêts avec droit d’opposition, nouvelle déclaration auprès de l’autorité de protection des données etc.). Cette deuxième opinion, plus souple, permet d’admettre une évolution inévitable des finalités d’utilisation, tout en garantissant les droits et libertés de la personnes.
Le système sévère du futur Règlement
La disposition finale du projet de Règlement ne comprend plus aucune disposition concernant le problème du changement de finalité et les conditions dans lesquelles il aurait pu intervenir.
L’évolution du texte témoigne d’un véritable débat sur ce point.
Le texte initial ne contenait aucune règle spécifique.
La seconde version a introduit un nouveau paragraphe ayant cet objet (article 6§4). Si les données étaient collectées par le même responsable du traitement, la poursuite d’une finalité ultérieure aurait été permise malgré l’incompatibilité des finalités, pour autant que l’on ait pu justifier celui-ci par une des hypothèses générales de licéité prévue au §1er(consentement, exécution d’un contrat, intérêt vital de la personne etc.).
En d’autres termes, selon la deuxième version du texte, le responsable aurait toujours pu remédier à une incompatibilité entre la finalité initiale et les finalités ultérieures du traitement, en identifiant une nouvelle base de licéité du traitement. En fin de compte, le responsable pouvait toujours prendre le risque de fonder la licéité du nouveau traitement sur la fameuse balance des intérêts, et gérer les soucis a posteriori.
La dernière version du Règlement, ayant fait l’objet du dernier vote en commission, a purement et simplement retiré ce paragraphe.
Le Groupe Article 29 a donc obtenu satisfaction, lui qui avait fortement critiqué cette disposition qui, à ses yeux, mettait à mal et vidait de sa substance le principe de finalité (cfr. Article 29, Opinion 03/2013 on purpose limitation, 2 avril 2013, p. 36 et 37).
Le principe de base est dès lors celui de l’exigence de la compatibilité des finalités nouvelles avec les finalités initiales, sauf consentement de la personne concernée ou un texte légal spécifique le permettant pour des finalités spécifiques (sécurité nationale, défense, sécurité publique etc.) En cas d’incompatibilité, la poursuite de la finalité incompatible est donc prescrite et le changement de finalité rendu illicite.
Des conséquences pratiques importantes
Le Règlement choisit donc la sévérité concernant le régime de changement des finalités.
L’interdiction de traitement en cas d’incompatibilité des finalités s’oppose à l’évolution d’un traitement de données qui est en quelque sorte « figé » par sa finalité réelle de départ. Si des données ont été traitées pour les besoins d’exécution d’un contrat, elles ne pourront la plupart du temps pas être traitées pour une communication à un tiers en vie d’alimenter un processus de profilage big data car ce sera considéré comme finalité incompatible, sauf à obtenir a posteriori le consentement de chacune des personnes concernées.
Sans aller jusqu’à autoriser le changement de finalité sans garantie particulière, un moyen terme était possible si on était parti du principe que la seconde finalité générait un « nouveau » traitement qui devait être soumis au respect de l’intégralité des dispositions de la loi (nouvelle information des personnes, identification d’un nouveau critère de licéité, identification des mesures de sécurité spécifiques, le cas échéant, etc.) et pas seulement à la seule exigence de la licéité.
La solution du Règlement est autre : on ne peut pas modifier une finalité annoncée sans le consentement préalable de la personne.
Ce qui pose non seulement problème pour le traitements futurs mais aussi question pour les traitements antérieurs ou qui seront en cours au moment de l’entrée en vigueur du futur Règlement. Le Règlement ne prévoit en effet pas de régime transitoire.
Plus d’infos ?
En assistant à la conférence organisée par le cabinet Ulys sur le Big data (conférence gratuite mais sur inscription préalable).