Blog

Apr 30, 2023

Guide de la base légale

Rechercher un article

Rechercher un article

Vous avez peut-être remarqué que nous avons apporté quelques modifications à notre site Web. Cela inclut les modifications apportées au Guide du RGPD du Royaume-Uni, qui a été décomposé en guides plus petits tels que celui-ci.

07 octobre 2022 - Nous avons mis à jour notre position sur la nécessité d'une nouvelle base légale lorsque votre objectif de traitement change. La mise à jour se trouve sous la rubrique « Que se passe-t-il si nous avons un nouvel objectif ? » section. Vous devez maintenant déterminer si vous avez besoin d'une nouvelle base légale si vos finalités de traitement des données personnelles changent.

☐ Nous avons passé en revue les finalités de nos activités de traitement et sélectionné la (ou les) base(s) légale(s) la plus appropriée(s) pour chaque activité.

☐ Nous avons vérifié que le traitement est nécessaire à la finalité poursuivie et sommes convaincus qu'il n'existe pas d'autre moyen raisonnable et moins intrusif pour atteindre cette finalité.

☐ Nous avons documenté notre décision sur la base légale qui s'applique pour nous aider à démontrer la conformité.

☐ Nous avons inclus des informations sur les finalités du traitement et la base légale du traitement dans notre avis de confidentialité.

☐ Lorsque nous traitons des données de catégorie spéciale, nous avons également identifié une condition pour le traitement des données de catégorie spéciale et l'avons documentée.

☐ Lorsque nous traitons des données d'infractions pénales, nous avons également identifié une condition pour le traitement de ces données et l'avons documentée.

Les bases légales du traitement sont énoncées à l'article 6 du RGPD britannique. Au moins l'un d'entre eux doit s'appliquer chaque fois que vous traitez des données personnelles :

(a) Consentement :la personne a clairement consenti à ce que vous traitiez ses données personnelles dans un but précis.

(b) Contrat :le traitement est nécessaire pour un contrat que vous avez avec la personne, ou parce qu'elle vous a demandé de prendre des mesures spécifiques avant de conclure un contrat.

(c) Obligation légale :le traitement est nécessaire pour que vous respectiez la loi (hors obligations contractuelles).

(d) Intérêts vitaux :le traitement est nécessaire pour protéger la vie de quelqu'un.

(e) Mission publique :le traitement est nécessaire pour que vous exécutiez une tâche d'intérêt public ou pour vos fonctions officielles, et que la tâche ou la fonction ait une base légale claire.

(f) Intérêts légitimes : le traitement est nécessaire pour vos intérêts légitimes ou les intérêts légitimes d'un tiers, sauf s'il existe une bonne raison de protéger les données personnelles de la personne qui prévaut sur ces intérêts légitimes. (Cela ne peut pas s'appliquer si vous êtes une autorité publique qui traite des données pour effectuer vos tâches officielles.)

Pour plus de détails sur chaque base légale, lisez la page spécifique de ce guide.

Lien externe

Lien externe

Cela dépend de vos finalités spécifiques et du contexte du traitement. Vous devez réfléchir à la raison pour laquelle vous souhaitez traiter les données et déterminer quelle base légale correspond le mieux aux circonstances. Vous pouvez utiliser notre outil d'orientation interactif pour vous aider.

Vous pouvez considérer que plus d'une base s'applique, auquel cas vous devez les identifier et les documenter toutes dès le départ.

Vous ne devez pas adopter une approche unique. Aucune base ne doit être considérée comme toujours meilleure, plus sûre ou plus importante que les autres, et il n'y a pas de hiérarchie dans l'ordre de la liste dans le RGPD britannique.

Plusieurs des bases légales se rapportent à un objectif particulier spécifié - une obligation légale, l'exécution d'un contrat avec l'individu, la protection des intérêts vitaux de quelqu'un ou l'exécution de vos tâches publiques. Si vous traitez à ces fins, la base légale appropriée peut être évidente, il est donc utile de les examiner en premier.

Dans d'autres cas, vous aurez probablement le choix entre l'utilisation d'intérêts légitimes ou le consentement. Vous devez réfléchir au contexte plus large, notamment :

Vous préférerez peut-être considérer les intérêts légitimes comme votre base légale si vous souhaitez garder le contrôle du traitement et assumer la responsabilité de démontrer qu'il est conforme aux attentes raisonnables des personnes et n'aurait pas d'impact injustifié sur elles. D'autre part, si vous préférez donner aux individus le contrôle total et la responsabilité de leurs données (y compris la possibilité de changer d'avis quant à savoir si elles peuvent continuer à être traitées), vous pouvez envisager de vous fier au consentement des individus.

Plus en détail

Nous avons produit l'outil d'orientation interactif sur la base légale, pour fournir des conseils plus personnalisés sur la base légale susceptible d'être la plus appropriée pour vos activités de traitement.

L'approche de base est la même. Vous devez réfléchir à vos objectifs et choisir la base qui vous convient le mieux. Vous pouvez toujours utiliser notre outil de base légale pour vous aider.

La base de tâches publiques est plus susceptible d'être pertinente pour une grande partie de ce que vous faites. Si vous êtes une autorité publique et que vous pouvez démontrer que le traitement consiste à exécuter vos tâches conformément à la législation britannique, vous pouvez utiliser la base de tâches publiques. Mais si c'est dans un autre but, vous pouvez toujours envisager une autre base.

En particulier, vous pouvez toujours être en mesure de prendre en compte le consentement ou les intérêts légitimes dans certains cas, selon la nature du traitement et votre relation avec la personne. Il n'y a pas d'interdiction absolue pour les autorités publiques d'utiliser le consentement ou les intérêts légitimes comme base légale, bien qu'il existe certaines limites. Pour plus d'informations, consultez la page d'orientation spécifique à chaque base légale.

La loi de 2018 sur la protection des données stipule que « autorité publique » désigne ici une autorité publique en vertu de la loi sur la liberté d'information ou de la loi sur la liberté d'information (Écosse) - à l'exception des conseils paroissiaux et communautaires.

Exemple

Une université qui souhaite traiter des données personnelles peut envisager une variété de bases légales en fonction de ce qu'elle veut faire avec les données.

Les universités sont classées comme des autorités publiques, de sorte que la base de la tâche publique est susceptible de s'appliquer à une grande partie de leur traitement, en fonction du détail de leurs constitutions et de leurs pouvoirs juridiques. Si le traitement est distinct de leurs tâches en tant qu'autorité publique, l'université peut alors souhaiter examiner si le consentement ou les intérêts légitimes sont appropriés dans les circonstances particulières. Par exemple, une université peut s'appuyer sur une tâche publique pour traiter des données personnelles à des fins d'enseignement et de recherche ; mais un mélange d'intérêts légitimes et de consentement pour les relations avec les anciens et à des fins de collecte de fonds.

L'université doit cependant examiner attentivement sa base - il incombe au responsable du traitement d'être en mesure de démontrer quelle base légale s'applique à la finalité particulière du traitement.

Lien externe

Vous devez déterminer votre base légale avant de commencer à traiter des données personnelles. Il est important de bien faire les choses du premier coup. Si vous découvrez ultérieurement que la base que vous avez choisie était en fait inappropriée, il sera difficile de simplement passer à une autre. Même si une base différente aurait pu s'appliquer dès le départ, le changement rétrospectif de base légale est susceptible d'être intrinsèquement injuste pour l'individu et d'entraîner des manquements aux exigences de responsabilité et de transparence.

Exemple

Une entreprise a décidé de traiter sur la base du consentement et a obtenu le consentement des individus. Une personne a ensuite décidé de retirer son consentement au traitement de ses données, comme c'est son droit. Cependant, la société souhaitait continuer à traiter les données et a donc décidé de poursuivre le traitement sur la base d'intérêts légitimes.

Même si elle aurait pu se fonder à l'origine sur des intérêts légitimes, l'entreprise ne peut pas le faire ultérieurement - elle ne peut pas changer de base lorsqu'elle s'est rendu compte que la base choisie à l'origine était inappropriée (en l'occurrence, parce qu'elle ne voulait pas offrir à l'individu une véritable contrôle permanent). Il aurait dû indiquer clairement à l'individu dès le départ qu'il procédait au traitement sur la base d'intérêts légitimes. Amener l'individu à croire qu'il avait le choix est intrinsèquement injuste si ce choix n'est pas pertinent. L'entreprise doit donc arrêter le traitement lorsque la personne retire son consentement.

Il est donc important d'évaluer soigneusement dès le départ quelle base est appropriée et de la documenter. Il est possible que plus d'une base s'applique au traitement parce que vous avez plus d'un objectif, et si tel est le cas, vous devez le préciser dès le départ.

S'il y a un véritable changement de circonstances ou si vous avez un objectif nouveau et imprévu, ce qui signifie qu'il existe une bonne raison de revoir votre base légale et d'apporter un changement, vous devez en informer la personne et documenter le changement.

Lien externe

Si vos objectifs changent avec le temps ou si vous avez un nouvel objectif que vous n'aviez pas prévu à l'origine, vous devez vous conformer au principe de limitation des objectifs. En résumé, vous ne pouvez continuer que si :

Pour plus d'informations sur la compatibilité, consultez nos conseils sur la limitation des finalités.

Tout traitement doit être licite, vous devez donc également identifier une base licite. La base initiale que vous avez utilisée pour collecter les données peut ne pas toujours être appropriée pour votre nouvelle utilisation des données.

Dans la plupart des cas, la base appropriée pour votre nouvelle utilisation des données est susceptible d'être assez évidente. Par exemple, si vous obtenez un consentement spécifique pour le nouveau but, votre base légale sera le consentement. Si vous vous fondez sur une disposition légale exigeant le nouveau traitement dans l'intérêt public, votre base légale sera l'obligation légale. Si vous vous prévalez d'une disposition légale autorisant une nouvelle utilisation des données dans l'intérêt public, votre base légale sera la mission publique.

Lorsque la finalité de votre nouvelle activité de traitement est compatible avec la finalité initiale du traitement, vous pourrez probablement invoquer des « intérêts légitimes » comme base légale du nouveau traitement, à condition que votre utilisation des données à caractère personnel soit nécessaire pour ce but.

Nous considérons qu'une évaluation de la compatibilité est susceptible d'examiner des facteurs similaires à une évaluation des intérêts légitimes (LIA). Bien qu'il n'y ait aucune obligation de le faire, vous pouvez donc utiliser notre modèle LIA pour vous aider à évaluer la compatibilité. Cela vous aidera également à démontrer votre base légale en même temps.

Si votre nouveau traitement est à des fins de recherche, vous n'avez pas besoin d'effectuer une évaluation de compatibilité et, dans la plupart des cas, vous pouvez être sûr que votre base légale est susceptible d'être soit une mission publique, soit des intérêts légitimes. Consultez nos conseils sur les dispositions relatives à la recherche pour plus de détails à ce sujet.

Toutefois, si vous avez initialement collecté les données sur la base d'un consentement, vous devez obtenir un nouveau consentement qui couvre spécifiquement la nouvelle finalité (à moins que vous ne vous appuyiez sur une disposition légale claire autorisant spécifiquement votre réutilisation des données). En effet, le consentement signifie donner aux individus un choix et un contrôle réels sur la manière dont leurs données sont utilisées. Cela signifie que le consentement doit toujours être spécifique et éclairé. Les personnes ne peuvent donner un consentement valable que si elles savent et comprennent ce que vous allez faire de leurs données. Si vous obtenez un consentement spécifique pour le nouveau but, vous n'avez pas besoin de montrer qu'il est compatible.

Si vous traitez des données de catégorie spéciale, vous devrez également vous assurer que vous pouvez identifier une condition appropriée qui s'applique à votre nouveau traitement.

Lien externe

Le principe de responsabilité exige que vous soyez en mesure de démontrer que vous vous conformez au RGPD du Royaume-Uni et que vous disposez de politiques et de processus appropriés. Cela signifie que vous devez être en mesure de démontrer que vous avez correctement examiné quelle base légale s'applique à chaque finalité de traitement et que vous pouvez justifier votre décision.

Vous devez donc conserver une trace de la base sur laquelle vous vous appuyez pour chaque finalité de traitement, et une justification de la raison pour laquelle vous pensez qu'elle s'applique. Il n'y a pas de formulaire standard pour cela, tant que vous vous assurez que ce que vous enregistrez est suffisant pour démontrer qu'une base légale s'applique. Cela vous aidera à vous conformer aux obligations de responsabilité et vous aidera également lors de la rédaction de vos avis de confidentialité.

Il est de votre responsabilité de vous assurer que vous pouvez démontrer quelle base légale s'applique à la finalité particulière du traitement.

Lisez la section sur la responsabilité de ce guide pour en savoir plus sur ce sujet. Il existe également des conseils supplémentaires sur la documentation des évaluations du consentement ou des intérêts légitimes dans les pages pertinentes du guide.

Lien externe

Vous devez inclure des informations sur votre base légale (ou vos bases, si plusieurs s'appliquent) dans votre avis de confidentialité. En vertu des dispositions de transparence du RGPD britannique, les informations que vous devez donner aux gens incluent :

Cela s'applique que vous collectiez les données personnelles directement auprès de l'individu ou que vous collectiez ses données à partir d'une autre source.

Lisez la section "Droit d'être informé" de ce guide pour en savoir plus sur les exigences de transparence du RGPD.

Lien externe

Si vous traitez des données de catégorie spéciale, vous devez identifier à la fois une base légale pour le traitement et une condition de catégorie spéciale pour le traitement conformément à l'article 9. Vous devez documenter à la fois votre base légale pour le traitement et votre condition de catégorie spéciale afin de pouvoir démontrer la conformité et la responsabilité.

Des conseils supplémentaires peuvent être trouvés dans la section sur les données des catégories spéciales.

Si vous traitez des données concernant des condamnations pénales, des infractions pénales ou des mesures de sécurité connexes, vous avez besoin à la fois d'une base légale pour le traitement et soit d'une "autorité publique", soit d'une condition distincte pour le traitement de ces données conformément à l'article 10. Vous devez documenter à la fois votre base légale pour le traitement et l'état de vos données d'infraction pénale afin que vous puissiez démontrer la conformité et la responsabilité.

De plus amples informations peuvent être trouvées dans la section sur les données sur les infractions pénales.

Lectures complémentaires - Conseils de l'ICO

Le cadre de responsabilité examine les attentes de l'ICO par rapport à la base légale.