Comme nous le savons, tout traitement de données doit être justifié par au moins une des bases juridiques définies dans le Règlement sur les Données. Dans la pratique et dans la vie quotidienne, on les appelle également bases juridiques ou motifs du traitement des données. Sans l’application d’une base juridique appropriée, le traitement des données est illégal.
Il existe six fondements juridiques : le consentement, l’exécution du contrat, l’obligation légale, l’intérêt public ou l’autorité publique, la protection des intérêts vitaux et le respect des intérêts légitimes. L’organisation ou le responsable doit évaluer laquelle de ces bases est la plus appropriée pour chaque traitement de données personnelles. Sans l’application d’une base juridique appropriée, le traitement des données est considéré comme illégal.
Bien que l’Inspection nationale des données informe les organisations, tant dans l’espace privé que dans l’espace public, de la base juridique du traitement des données, nous rencontrons toujours des situations dans lesquelles leur application n’est pas toujours claire au quotidien. Sans connaître la variété des bases juridiques et les conditions préalables à leur application, on choisit des bases juridiques qui ne correspondent pas à la nature du traitement, ne garantissant ainsi pas le respect des droits des personnes en tant que personnes concernées.
C’est pourquoi, cette fois-ci, à l’aide de la famille Datin et d’exemples pratiques, nous souhaitons aborder ensemble l’ensemble des bases juridiques afin de donner un aperçu des conditions et des limites de leur application.
Dans cette explication, nous énumérerons tous les motifs du traitement des données, en donnant des exemples de cas où ils s’appliquent au traitement des données.*
CONSENTEMENT
#1 Le consentement est appliqué comme base juridique pour le traitement des données lorsque le traitement est un choix volontaire de la personne, qui n’a pas été facilité par des circonstances coercitives et dont le défaut de fourniture n’entraîne pas de conséquences négatives. Ce cadre peut souvent sembler le plus simple et le plus familier, c’est pourquoi les organisations choisissent de l’appliquer à la plupart de leurs activités de traitement. Toutefois, le consentement doit être considéré comme une base pour le traitement des données dans les cas où d’autres motifs ne peuvent être satisfaits.
Par exemple, Jānis Datiņš peut appliquer le consentement dans son club sportif pour mieux connaître ses clients et établir des relations plus étroites avec eux, en traitant les données non seulement pour l’exécution de contrats spécifiques (qui constitueront une base de traitement distincte). L’administration du club sportif est sous la supervision de Jānis Datiņš. Afin d’offrir des réductions spéciales aux clients du club le jour de leur anniversaire, lors de la demande d’abonnement à un club sportif, un consentement séparé pour recevoir l’offre de vacances du client est requis en traitant l’adresse e-mail et la date de naissance du client. Chaque e-mail ultérieur contenant une offre contient un lien « désabonnement ». Après avoir activé ce lien, les données du client sont supprimées de la liste des destinataires de ces offres.
Cette base ne peut pas être utilisée dans les cas où il existe une relation inégale entre une organisation et une personne, par exemple entre un employeur et un employé.
| Attention ! Cela ne constituera pas une base appropriée dans les cas où le traitement des données est nécessaire à l’exécution d’un contrat entre les parties. Dans de tels cas, l’exécution du contrat lui-même constituera la base juridique, tandis que le consentement pourra constituer la base d’activités de traitement supplémentaires. |
Le consentement doit être démontrable, clair (la personne qui donne son consentement doit savoir exactement ce qu’elle accepte) et révocable à tout moment. Une personne peut retirer son consentement même le lendemain. Le retrait du consentement, d’une part, ne signifie pas que le traitement des données effectué sur la base du consentement devient illégal, mais d’autre part, il ne peut pas lui nuire. Il convient de veiller à ce que retirer son consentement soit aussi simple que de le donner.
EXÉCUTION DE L’ACCORD
Il n’est pas possible de conclure un contrat s’il ne contient pas de données sur les personnes auxquelles ce contrat s’applique. Par conséquent, lorsque des données personnelles spécifiques (par exemple, nom, prénom, code personnel et coordonnées) font partie intégrante du contrat, le traitement de ces données est justifié par la nécessité de conclure et d’exécuter le contrat. Cette base juridique est applicable aux contrats conclus dans le cadre de relations juridiques de travail, aux contrats avec les clients, aux contrats dans lesquels le traitement des données des propriétaires d’appartements sera effectué à l’avenir par une société de gestion, etc.
Le fils de la famille Datins, Kārlis Datins, a décidé de suivre un entraînement d’athlétisme dans une école de sport locale. Les parents doivent donc signer un contrat pour bénéficier de ces services. Lors de la préparation du contrat, les données de Karlis en tant qu’apprenant et des parents de Karlis en tant que parties contractantes sont obtenues et incluses dans le document.
OBLIGATION LÉGALE
#3 L’obligation légale est la base juridique qui s’applique lorsque l’organisation ne traite pas les données par son propre choix ou par nécessité, mais lorsqu’elle est obligée de le faire parce que cela est stipulé dans un acte normatif externe – directement.
Pour que le comptable du club sportif puisse émettre une facture pour la visite de la salle de sport, les données personnelles des clients sont requises. La saisie du nom et du prénom du client sur la facture est requise conformément à l’article 11, cinquième partie, clauses 5 et 6 de la loi comptable.
PROTECTION DES INTÉRÊTS VITAUX
#4 Protection des intérêts vitaux
Les intérêts vitaux indiquent le lien direct entre le traitement des données et la vie et la santé humaines. Cette base juridique ne peut être invoquée que pour des traitements fondés sur les intérêts vitaux d’une personne physique. [6] L’utilisation de cette justification est donc très limitée : la menace pour la vie doit être réelle et présente, et non possible. Ce type de traitement peut être justifié à la fois par les intérêts d’un groupe plus large de personnes – la société, et par l’importance significative des intérêts d’une personne spécifique. Par exemple, lors de la surveillance d’épidémies ou dans les cas où une aide d’urgence est fournie.
Le grand-père de la famille Datins, Valdis Datins, a entrepris un voyage très attendu à l’étranger. Malheureusement, un coup d’État a lieu dans le pays visité par Valdis et les citoyens lettons doivent être évacués de toute urgence. Sachant que Valdis est dans ce pays et considérant les menaces potentielles pour la sécurité de Valdis, le Département Consulaire utilise les données de Valdis (localisation, numéro de téléphone) pour le contacter et assurer son évacuation.
INTÉRÊTS PUBLICS
#5 Intérêt public ou autorité officielle
Cette base juridique s’applique si le traitement des données est nécessaire à l’exécution d’une mission d’intérêt public ou à l’exercice de pouvoirs officiels établis par le droit de l’UE ou le droit national. Contrairement aux cas où le traitement des données est directement défini par la loi et constitue une obligation légale, dans ce cas, le traitement peut être fondé sur des normes juridiques plus générales qui définissent l’intérêt public, les tâches et les pouvoirs des institutions.
Cette base juridique couvre deux situations et est applicable aussi bien dans le secteur public que privé.
- Premièrement, cela s’applique lorsque le responsable du traitement dispose d’une autorité publique ou exécute une mission d’intérêt public (mais ne doit pas non plus être soumis à une obligation légale de traiter les données). Le traitement doit donc être effectué afin d’exercer ce pouvoir ou de réaliser ladite mission.
- Deuxièmement, il fait référence aux situations dans lesquelles le responsable du traitement ne dispose pas d’une autorité officielle, mais est invité à divulguer des données par quelqu’un d’autre (un tiers) qui dispose de cette autorité. De même, le responsable pourra, de sa propre initiative, divulguer les données à un tiers disposant de cette autorité publique.
Il y a un hangar à vélos à proximité du club sportif Jānis Datiņš, où Jānis a installé une caméra de vidéosurveillance pour protéger les véhicules des clients laissés sur place. Malgré les mesures de sécurité, l’un des vélos a été volé par un criminel audacieux. Après avoir prévenu la police, le club de fitness reçoit une demande de la police pour remettre l’enregistrement de vidéosurveillance du vol. Étant donné que la police a le pouvoir de demander de telles données, les données (enregistrements) collectées par le club de fitness sont fournies à la police.
!Pour l’application de cette base juridique, un test de proportionnalité doit être effectué. Cela signifie qu’avant le traitement, il est nécessaire d’évaluer si la proportionnalité entre l’intérêt public et la protection des données personnelles a été respectée.
RESPECT DES INTÉRÊTS LÉGITIMES
#6 Respect des intérêts légitimes
En tant que personne concernée, la personne concernée n’est pas la seule à avoir des intérêts légitimes. L’organisation a également divers intérêts, tels que promouvoir et améliorer ses activités commerciales, intenter des poursuites judiciaires ou se défendre contre celles-ci. Si les intérêts de l’organisation sont compatibles avec la vie privée de la personne, l’organisation peut alors traiter les données sur la base de cette base juridique. Afin de garantir la proportionnalité, une mise en balance doit être effectuée avant le début du traitement afin d’évaluer si le bénéfice du traitement des données à caractère personnel sera supérieur aux restrictions aux droits de l’homme résultant du traitement prévu. En conséquence, à l’aide du test, l’organisation doit s’assurer que l’avantage du traitement de ces données est plus important que la menace pour les droits de l’homme. Cette base juridique ne peut pas être appliquée par les administrations publiques, car elles n’ont pas d’intérêts privés propres.
Afin d’assurer un service client de qualité et de fournir des preuves en cas de litiges ou d’incertitudes, les conversations téléphoniques du club de fitness Jānis Datins et de ses clients sont enregistrées. Jānis ne démarre ce traitement qu’après avoir effectué le test d’équilibre de l’entreprise et des clients.
* Une explication plus détaillée de chacun des motifs juridiques peut être trouvée sous le lien inclus dans chacune des rubriques des motifs juridiques dans cette explication.
https://www.dvi.gov.lv/lv/jaunums/dviskaidro-likumiga-datu-apstrade-tiesiska-pamata-piemerosana