Le 2 décembre 2019, la CNIL a publié sur son site deux actualités relatives au choix de la « base juridique » d’un traitement. Il s’agit de pouvoir rattacher en pratique la collecte des données à un motif juridique prédéfini. La base juridique la plus connue reste le consentement. Mais peuvent également être retenus la conclusion ou l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux et la mission d’intérêt public. La dernière base juridique, régulièrement – et dangereusement – utilisée, est celle « des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ».
Le choix entre les six hypothèses listées à l’article 6 du RGPD est parfois complexe et délicat.
Il se corse en matière de données sensibles telles que la santé, la sexualité, les opinions politiques, puisque leur traitement est en principe interdit. Ce n’est que lorsque le traitement répond à l’un des 10 cas d’usage listés à l’article 9 du règlement que leur traitement est autorisé, par exception.
La CNIL précise que pour pouvoir traiter des données sensibles, il n’est pas suffisant de pouvoir se fonder sur l’une des exceptions à l’interdiction de traitement. La Commission considère qu’elles « ne constituent pas la « base légale » du traitement mis en œuvre » et impose aux responsables de traitement de retenir en plus une des bases juridiques listées à l’article 6.
En soi, cela n’a rien d’insurmontable. Si l’on prend l’exception permettant de traiter des données relatives à la santé à des fins de diagnostic médical, par exemple, la base juridique correspondante devrait être l’exécution d’un contrat (le fameux contrat de soins) pour les libéraux et une mission d’intérêt public dans les établissements publics (l’usager du service public hospitalier se trouve en effet dans une situation dite « légale et réglementaire », et non pas contractuelle).
Mais cela pose la question de l’interprétation du RGPD. L’interprétation des articles 6 et 9 par la CNIL ne va en effet pas de soi. Rien dans le texte n’indique qu’il faut cumuler les deux textes. D’aucuns pourraient me rétorquer, a contrario, que rien ne l’interdit non plus. Et c’est vrai.
Le Conseil d’Etat semble toutefois avoir retenu une interprétation opposée à la CNIL dans un arrêt du 6 décembre 2019 (n° 409212). Il s’agissait en l’occurrence de données relatives à la sexualité d’une personne, dont le traitement est interdit par principe, sur un site internet. La personne concernée avait demandé le déréférencement du site sur Google. Avant de se prononcer sur la question, au §21 de la décision, le Conseil d’Etat s’est interrogé sur la licéité du traitement de données sensibles par le site internet. Les juges ont considéré que le site en question pouvait légitimement les publier « dès lors [qu’elles] sont issues du roman à caractère autobiographique » de la personne concernée et qu’ainsi « les données en cause doivent être regardées comme ayant été manifestement rendues publiques ». Ce faisant, la haute juridiction fait écho à la 5ème exception prévue à l’article 9 du RGPD, qui permet le traitement de données sensibles lorsqu’il « porte sur des données (…) manifestement rendues publiques par la personne concernée ». Force est de constater que le Conseil d’Etat a justifié le traitement d’une donnée sensible sans avoir à retenir une des bases juridiques « de droit commun » prévues à l’article 6.
Quatre jours séparent les deux interprétations. Autant pour la sécurité juridique.
Certes, la décision du Conseil d’Etat devrait primer, mais la CNIL reste l’interlocuteur de premier degré de tout responsable de traitement.
Un choix complexe et délicat… et déterminant !