RGPD : que sont les cas de dispense du recueil du consentement au nom des intérêts légitimes du responsable du traitement ?

En matière de RGPD, le consentement au traitement des données est la règle. Au nombre des exceptions, se trouve l’intérêt légitime du responsable du traitement.

Cette importante exception vient de donner lieu à un arrêt du Conseil d’Etat fixant les intérêts à mettre en balance, avec un mode d’emploi relativement précis.

En l’espèce, en appliquant cette méthode, la Haute Assemblée en vient à estimer que le consentement à réutiliser, en ligne, sa carte de paiement doit être tout à fait exprès pour l’acheteur/titulaire de ladite carte de paiement.

Pour les personnes publiques, il en résulte l’obligation de prévoir un consentement très explicite avant d’enregistrer un moyen de paiement lors des traitements électroniques, ce qui est en général le cas. Plus largement, il s’en déduit qu’assez rares seront les cas où un tel traitement automatisé pourra être opéré sans consentement pour les nombreuses bases de données utilisés dans le monde public (règle rarement méconnue, en pratique). 

 

 

Aux termes de l’article 6 du règlement (UE) n° 2016/679 du 27 avril 2016 (dit  » RGPD « ), la personne concernée doit avoir consenti au traitement de ses données. Telle est la règle par défaut.

Il y a dispense cependant du recueil de ce consentement dans divers cas :

  • traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci,
  • ou traitement nécessaire aux fins des intérêts légitime. Plus précisément, il s’agit de l’hypothèse « lorsque les intérêts légitimes du responsable du traitement prévalent sur ceux des personnes concernées » ou sur leurs libertés et droits fondamentaux (f de l’art. 6 du RGPD).

Le régime de l’article 6 du RGPD s’avère assez biscornu mais sur ce point, la règle, rappelée voire précisée par le Conseil d’Etat hier, est que  pour apprécier si les intérêts légitimes du responsable du traitement prévalent sur ceux des personnes concernées, il y a lieu de mettre en balance :

  • d’une part, l’intérêt légitime poursuivi par le responsable du traitement ;
  • et, d’autre part, l’intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu’aux attentes que ces personnes peuvent raisonnablement avoir quant à l’absence de traitement ultérieur des données collectées.

Bref, une mise en balance classique dans son principe, mais dont les termes de part et d’autre, les éléments à mettre en balance, sont ainsi précisés par le Conseil d’Etat.

En l’espèce, une délibération de la Commission nationale de l’informatique et des libertés (CNIL) indiquait que les données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d’une transaction dans le cadre de l’exécution d’un contrat et que la conservation de ces données afin de faciliter d’éventuels paiements ultérieurs n’est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu’elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

Une société soutenait que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l’intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d’une fonctionnalité d’achat rapide – dite  » en un clic  » – cet intérêt ne saurait prévaloir sur l’intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d’une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s’attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs.

Source : CE, 10 décembre 2020, n° 429571, à publier aux tables du recueil Lebon :

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-12-10/429571