Article 6 du RGPD : Licéité du traitement

Sommaire :

Comprendre l’article 6 

Cet article dresse les conditions – non cumulatives – légales d’un traitement de données personnelles.

Un traitement de données personnelles, c’est toutes les opérations (collecte, utilisation, stockage…) réalisées sur des informations permettant d’identifier une personne. 

Autrement dit, pour qu’un traitement soit légal, c’est à dire conforme et autorisé, il doit être basé, selon le RGPD, sur au moins l’une 6 propositions ci-dessous :

  • Le consentement 

  • Le contrat 

  • Respect d’une obligation légale (exemple : traitement opéré pour la gestion des employés) 

  • Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique (exemple : traitement d’un patient admis aux urgences)

  • Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement (exemple : traitement d’une liste d’élèves d’une école publique)

  • Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (sauf si les droits et libertés fondamentaux de la personne concernée priment) (exemple : prospection non automatisée)

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 6 du RGPD

  1. « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; 

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; 

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; 

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. 

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.  

  1.  Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
  2. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

    a) le droit de l’Union; ou

    b) le droit de l’État membre auquel le responsable du traitement est soumis. 

    Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de L 119/36 FR Journal officiel de l’Union européenne 4.5.2016 traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

  3. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

    a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé; 

    b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

    c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10; 

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

Jurisprudence

Cet article est souvent évoqué et est le fondement de plusieurs sanctions rendues par la CNIL et ses homologues européens. 

Sanction de 50 000 000€ d’amende pour Google 

La CNIL prononce à l’encontre de Google une amende de 50 000 000 € (l’une des plus grosses sanctions jamais prononcée). Elle énonce, parmi les plusieurs violations et manquements relevés, l’absence d’un consentement recueilli spécifiquement pour la finalité en cause : personnalisation de la publicité. Ce comportement va clairement à l’encontre de la condition énoncée en 1.a) de l’article 6 du RGPD, confirmant donc que le traitement n’était pas licite. Délibération de la formation restreinte n°SAN-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce