Données : le contrat ne justifie pas tout !

Par Anne Cousin, le 28 mai 2019

Conformément à l’article 6 du RGPD, l’une des bases juridiques d’un traitement de données, c’est-à-dire ce qui le rend licite, peut être l’exécution d’un contrat auquel est partie la personne dont les données sont traitées.

Or, les responsables du traitement sont très souvent tentés d’élargir cette base légale au maximum et d’y rattacher des traitements de données « pré ou péri-contractuels » qui ont des difficultés à entrer dans l’une des autres cinq bases légales également énoncées par l’article 6.

Le Comité Européen de la Protection des Données vient clairement de désavouer une telle approche dans ses lignes directrices publiées le 9 avril dernier.

Il estime ainsi que les données collectées à des fins d’amélioration du service sont insusceptibles de se rattacher aux nécessités de l’exécution du contrat dans la mesure où le service peut être rendu ou le bien livré indépendamment de tout traitement de ce type. C’est donc un autre fondement (l’intérêt légitime du responsable du traitement) qui peut fournir une base légale à la collecte de telles informations.

La prévention de la fraude fournit un autre bon exemple de l’impossible extension de l’exécution du contrat comme fondement légal du traitement de données. C’est le cas aussi de la publicité comportementale, à laquelle les consommateurs ont par ailleurs le droit de s’opposer.

Bref, le contrat ne peut en aucun cas servir de prétexte commode à un traitement de données qui peinerait à trouver une base légale propre.

Ce que tout responsable de traitement doit bien avoir en tête, c’est que pour être rattaché à l’exécution d’un contrat, le traitement de données doit être nécessaire à cette exécution.

Cette démonstration – ainsi que celle de la validité du contrat – est à la charge du responsable du traitement. Or, cette nécessité sera strictement entendue et ne sera par exemple pas retenue, si l’exécution du contrat n’est que facilitée.

Tout comme l’existence d’un « intérêt légitime », fondement trop souvent appelé à l’aide pour justifier un traitement de données, le contrat des parties a finalement un rôle justificatif relativement limité. Attention donc aux multiples implications de telles limites.

Data : a contract cannot justify everything!

Anne Cousin, May 28, 2019

According to Article 6 of the GDPR, one of the legal bases of a data processing, i.e. what makes it lawful, may be the performance of a contract to which the person whose data are processed is a party.

However, data controllers are very often tempted to extend this legal basis as much as possible and to attach to it « pre or peri-contractual » data processing operations which have difficulties in entering one of the other five legal basis also provided by Article 6.

The European Data Protection Board has clearly rejected such an approach in its guidelines published on 9 April.

It for instance considers that the data collected for the purpose of improving the provision of the services by the data controller are not likely to be justified by the requirements of the performance of the contract because the service can be provided or the goods delivered independently of any such processing. It is therefore another basis (the legitimate interest pursued by the controller) that can provide a legal basis for the collection of such information.

Fraud prevention provides another good example of the impossibility of extending the performance of the contract as the legal basis for data processing. This is also the case for behavioural advertising, to which consumers also have the right to object.

In conclusion, the contract must under no circumstances serve as a convenient pretext for data processing that would struggle to find its own legal basis.

What any data controller must bear in mind is that in order to be linked to the execution of a contract, the data processing must be necessary for this execution.

This demonstration – as well as that of the validity of the contract – is the responsibility of the controller. However, the necessity of the processing will be strictly understood and will not be taken into account, for example, if the performance of the contract is only facilitated.

Just like the « legitimate interest » of the controller, a basis too often called upon to justify data processing, the parties’ contract has a relatively limited supporting role. Be aware therefore, about the multiple implications of such limits.