L’obligation légale : dans quels cas fonder un traitement sur cette base légale ?
L’obligation légale est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale se justifie lorsque la mise en œuvre d’un traitement est imposée à un organisme par des textes européens ou nationaux.
L’obligation légale doit être impérative, suffisamment claire et précise pour fonder valablement un traitement. Les textes créant cette obligation doivent au moins définir la finalité de ce traitement.
Qui peut être concerné par la base légale « obligation légale » ?
L’obligation légale est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.
Cette base légale peut fonder un traitement de données dès lors que sa mise en œuvre par un organisme est rendue obligatoire par le cadre juridique auquel il est soumis.
Elle peut concerner des traitements mis en œuvre par des organismes privés comme par des organismes publics.
Dans quelles conditions l’obligation légale peut-elle constituer la base légale d’un traitement ?
Le recours à l’obligation légale pour fonder légalement un traitement est soumis à plusieurs conditions :
-
comme pour toute base légale, l’obligation légale ne peut être retenue que si le traitement satisfait à la condition de « nécessité ».
Le traitement concerné doit ainsi permettre de répondre à l’obligation légale qui s’impose à l’organisme et ne doit pas viser un autre objectif. Cet organisme doit en outre s’assurer qu’il n’existe pas de moyen moins intrusif d’atteindre cet objectif que de mettre en œuvre le traitement envisagé.
Par exemple, un employeur peut utiliser des moyens moins intrusifs d’assurer la sécurité physique de ses employés que de mettre en place des systèmes de vidéosurveillance. L’obligation de sécurité qui pèse sur les employeurs en application du code du travail ne peut donc fonder de tels systèmes et une autre base légale doit être recherchée, comme par exemple leur intérêt légitime à assurer la sécurité des personnes et des biens dans leurs locaux.
Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.
Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.
Pour en savoir plus : La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
-
de manière plus spécifique, l’obligation légale doit répondre à 4 conditions pour valablement fonder un traitement :
- l’obligation légale doit être définie par le droit européen ou le droit national d’un État membre auquel le responsable du traitement est soumis ;
- ces dispositions légales doivent instituer une obligation impérative de traiter des données personnelles, suffisamment claire et précise ;
- ces dispositions doivent au moins définir les finalités du traitement concerné ;
- cette obligation doit s’imposer au responsable du traitement, et non aux personnes concernées par le traitement.
Si ces conditions ne sont pas remplies, le traitement en cause ne peut pas être fondé sur l’obligation légale et une autre base légale doit être recherchée par l’organisme traitant des données.
En savoir plus
Outre la condition de « nécessité » au regard de la base légale retenue, à laquelle doit satisfaire tout traitement de données quelle que soit cette base légale, l’obligation légale identifiée par le responsable du traitement doit donc satisfaire à 4 conditions distinctes :
l’obligation doit être définie par le droit européen ou le droit national auquel le responsable du traitement est soumis
les dispositions légales doivent instituer une obligation impérative pour l’organisme, suffisamment claire et précise
les dispositions légales qui instituent cette obligation doivent au moins définir les finalités du traitement concerné
l’obligation légale doit s’imposer au responsable du traitement, et non aux personnes concernées par le traitement
Quelles sont les conséquences du choix de cette base légale ?
La base légale « obligation légale » a plusieurs conséquences importantes pour l’organisme qui traite les données et pour les personnes concernées par le traitement. Comme pour toutes les bases légales, le choix de recourir à l’obligation légale doit donc faire l’objet d’une attention particulière de la part du responsable du traitement.
- Pour les organismes traitant les données : les traitements mis en œuvre sur le fondement de cette base légale ne sont pas soumis au mécanisme de coopération du guichet unique et la CNIL reste donc seule compétente à l’égard de ces traitements.
- Pour les personnes : les droits d’opposition et à la portabilité ne peuvent pas s’exercer à l’égard des traitements fondés sur une obligation légale.