Pour limiter le traitement des données personnelles, la réglementation a fixé un double principe lié à la limitation des données collectées (principe de minimisation) et aux circonstances de collecte (la nécessité d'une base légale).
Le traitement des données
Le traitement des données
– Un principe de minimisation. – Dès son chapitre II, le RGPD fixe les principes et conditions de licéité de traitement de données personnelles.
Au titre des principes, les données doivent être « limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 5.
.
Au titre de la licéité, le RGPD fixe une liste limitative de bases légales au traitement de données personnelles et dispose que « le traitement n'est licite que si, et dans la mesure où » le traitement remplit une de ces conditions
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 6.
.
Il faut remarquer l'énoncé cumulatif : « si » et « dans la mesure où ». Ce cumul fonde notamment le principe de minimisation de la collecte de données. Une collecte peut être licite par principe, puis ne plus l'être lorsqu'elle devient excessive par l'importance des données collectées, qui finit par dépasser les nécessités de l'objectif légitime initial.
À cet égard, il faut rappeler que les autorités de contrôle exercent spontanément une surveillance, notamment sur le respect de ce principe de minimisation, c'est-à-dire de la limitation de la collecte aux données qui sont adéquates, pertinentes et strictement nécessaires au regard des finalités du traitement. À ce titre, une durée de conservation doit également leur être assignée et un mécanisme d'archivage ou d'effacement mis en place. Ce principe n'est pas théorique, puisqu'il conduit à des sanctions tangibles en cas d'infraction
Cnil, délib. no SAN-2020-003, 28 juill. 2020, concernant la société Spartoo SAS, prononçant une amende de 250 000 € et décidant de rendre publique cette sanction.
.
– Un consentement au traitement… ou d'autres bases légales. – Dans l'énumération des bases légales d'un traitement de données personnelles, le consentement de la personne concernée est énoncé en premier
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 6, 1, a) ; L. no 78-17, 6 janv. 1978, art. 5, 1o.
. Peut-être pour cette raison, ce consentement a initialement été considéré par nombre de responsables de traitement comme le fondement idéal : le consentement avait été recueilli, le traitement était licite. Il n'était pas nécessaire de faire l'effort de caractériser une autre base légale. Ainsi, lors de l'entrée en vigueur du RGPD, tous les utilisateurs d'internet ont vu se multiplier les fenêtres informatiques de recueil de consentement, dès leur accès à la moindre page web.
Pourtant la lecture de la définition du consentement au titre de la protection des données
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 4, 11) et avant lui PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 2, h).
aurait dû inviter les responsables de traitement à la prudence : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Et même si les conditions de recueil de ce consentement paraissent souples
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, consid. 32 et art. 7, 1, 2 et 4.
(simples cases cochées, tant qu'elles ne le sont pas par défaut, déclaration orale, etc.), la forme, même simplifiée n'allège pas le fond. Car recueillir un consentement ne suffit pas, puisqu'il appartient au responsable de traitement de pouvoir justifier qu'il a été libre (pourtant, combien de consentements sont contraints par l'impossibilité d'accéder à un service à défaut de l'accorder ?), spécifique (pourtant, combien se trouvent noyés dans toute une série de démarches ?), éclairé (pourtant, combien sont recueillis en des termes inintelligibles), etc.
Aujourd'hui, avec le recul de l'expérience et la pédagogie des autorités de contrôle, le seul consentement a retrouvé la place mesurée qui aurait dû rester la sienne, un fondement marginal de la licéité d'un traitement de données, sauf en cas de traitement de données particulières ou sensibles, dont le traitement suppose à la fois un intérêt légitime et un consentement de la personne concernée
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 9 ; L. no 78-17, 6 janv. 1978, art. 6.
.
La licéité de la plupart des traitements est déjà assurée par d'autres bases légales : la nécessité de l'exécution d'un contrat auquel la personne était partie, les intérêts légitimes poursuivis par le responsable de traitement
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 6.
ou par un tiers, dans la mesure où le traitement ne porte pas atteinte aux intérêts, libertés et droits fondamentaux de la personne concernée.
Pour une protection efficace, l'information des personnes concernées et la limitation du traitement de leurs données ont été complétées de divers moyens de contrôle qui leur ont été accordés.