Beaucoup d’articles traitant du sujet de la mise en œuvre de la Protection des Données Personnelles, mettent en exergue le consentement comme « LE » moyen d’être en conformité avec la réglementation. Certes, le consentement est incontournable dans un certain nombre de cas, tels les démarches marketing, néanmoins il n’est pas le seul choix possible, surtout dans le secteur où j’interviens : le secteur social et médico-social.
LE RGPD reprend en effet les 6 bases légales de traitement définies dés la directive de 1995 :
- L’exécution d’un contrat : Lorsque le traitement des données est indispensable à la réalisation du contrat ; par exemple le traitement de l’adresse du client n’est pas nécessaire à l’acte d’achat, mais il l’est afin d’effectuer la livraison de ceux-ci.
- L’obligation légale : Le responsable de traitement effectue un traitement de données en vertu d’une obligation légale. L’exemple d’actualité est la collecte des pourcentages d’imposition par l’employeur dans le cadre de la mise en place du prélèvement à la source.
- L’existence d’une mission d’intérêt public : Rappelons ici qu’une mission de service public peut être assurée par une personne privée, même si elle n’est pas investie des prérogatives de puissance publique. Autrement dit, lorsque, eu égard à l’intérêt général de son activité, on peut en déduire que l’administration a entendu confier à un acteur privé, une mission de ce type, on va s’attacher à regarder un faisceau d’éléments ; Par exemple, les objectifs fixés et le contrôle exercé par la puissance publique sur la réalisation de ces objectifs.
Le secteur social et médico-social est à cet égard, investi d’une mission de service public envers une partie de la population c’est indéniable ; Certes la puissance publique a choisi de laisser aux associations le rôle d’acteur majeur de ces prises en charge, mais elle finance cette activité et exerce un contrôle : à la fois sur l’admission des personnes et sur les moyens utilisés (par le biais de dispositions telles que les évaluations ou encore les inspections).[1]
- L’intérêt vital : Si l’intérêt vital d’une personne physique est en jeu, que ce soit celle concernée par le traitement ou une autre. Mais la menace pesant sur la santé doit être grave et avérée. Par exemple les traitements de données réalisés afin de mesurer la progression des épidémies.
- L’intérêt légitime : ce critère demande à mesurer, d’une part le but poursuivi par le responsable de traitement, et d’autre part les conséquences que ce traitement peut engendrer par la personne concernée. C’est au responsable de traitement de démontrer que le but qu’il poursuit doit être apprécié de manière prioritaire par rapport à l’intérêt de la personne. Par contre la personne doit être avertie des motifs légitimes de la collecte et peut s’opposer à tout moment à un traitement fondé sur cette base.
[1] Ordonnance du 23/7/2015 et Article L311-1 du CASF
Et … le consentement :
C’est la première base légale citée dans le texte du RGPD, d’où les nombreux débats sur le sujet.
En droit français, le consentement est défini « comme une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Tout d’abord, cette définition exclue d’emblée l’utilisation du consentement pour traiter les données à caractère personnel du salarié. En effet, en droit français la signature du contrat de travail place le salarié dans une situation de subordination vis-à-vis de son employeur qui est incompatible avec la liberté requise pour consentir valablement.
Alors bien évidement, on va expliquer quelles sont les données collectées, dans quel cadre elles le sont et apporter la preuve que ces données respectent le principe de minimisation des données, nécessaires dans le cadre de la relation contractuelle entre le salarié et son employeur. On va également démontrer qu’elles sont correctement protégées, que leur utilisation est loyale, et indiquer à qui elle sont accessibles et transmises.
N’oublions pas que le pendant du consentement est le fait qu’il doit pouvoir être retiré à tout moment, et cela aussi facilement qu’il a été donné. En pratique, cette condition est impossible à mettre en œuvre dans l’exemple du salarié puisque l’employeur ne peut exécuter sa part du contrat, le paiement du salaire, sans traiter certaines données personnelles.
D’une façon générale, se demander si le consentement peut être retiré à tout moment sans mettre en péril la finalité du traitement est un bon moyen de savoir si le consentement doit être utilisé comme base légale ou pas.
Donc la base légale de la collecte des éléments nécessaires à la paie est … l’obligation contractuelle, voire l’obligation légale pour certains traitements. Le salarié doit percevoir un salaire en contrepartie de son travail, c’est l’obligation contractuelle et le fait de transmettre les salaires aux autorités compétentes est le résultat d’une l’obligation légale.
Qu’en est-il des personnes accueillies ?
La loi de 2002-2 met le consentement de la personne au centre de son dispositif d’accueil et le consentement aux prestations proposées doit être recherché par tous moyens. Néanmoins, il serait dangereux pour les personnes prises en charge d’appliquer le même principe aux traitements de données personnelles nécessaires.
Déjà, parce-que sans le traitement de ces données la prise en charge ne peut être réalisée !
Plusieurs possibilités peuvent être examinées :
- La réalisation du contrat de séjour implique le traitement de données personnelles donc utilisation de la base contractuelle
- D’autres traitements effectués tel le traitement de la participation des usagers aux frais de séjours, proviennent d’une obligation légale édictée par les Règlements d’Aide Sociale.
- La prise en charge pour la réalisation de laquelle les données sont collectées est effectuée en vertu de la mission de service public qui a été dévolue au secteur social et médico-social par les pouvoirs publics. L’utilisation de cette base légale est également possible de prime abord.
Laquelle choisir et doit-on choisir ? Je ne le pense pas si on s’en tient à la lecture de l’article 6 relatif à la licéité du traitement qui dispose que « le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie » ;
Ce qui semble vouloir dire que plusieurs conditions peuvent coexister ...
Alors à vos registres !!.