Blog

Jun 11, 2023

Tâche publique

Rechercher un article

Rechercher un article

L'article 6, paragraphe 1, point e), vous donne une base légale pour le traitement lorsque :

"le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement"

Cela peut s'appliquer si vous êtes soit :

Si vous pouvez prouver que vous exercez une autorité publique, y compris l'utilisation de pouvoirs discrétionnaires, il n'y a pas de critère supplémentaire d'intérêt public. Cependant, vous devez être en mesure de démontrer que le traitement est « nécessaire » à cette fin.

« Nécessaire » signifie que le traitement doit être un moyen ciblé et proportionné d'atteindre votre objectif. Vous n'avez pas de base légale pour le traitement s'il existe un autre moyen raisonnable et moins intrusif d'obtenir le même résultat.

Dans ce guide, nous utilisons le terme « tâche publique » pour aider à décrire et à étiqueter cette base légale. Cependant, ce n'est pas un terme utilisé dans le RGPD du Royaume-Uni lui-même. Votre objectif doit être de démontrer soit que vous effectuez une tâche dans l'intérêt public, soit que vous exercez une autorité publique.

En particulier, il n'y a pas de lien direct avec le concept de « tâche publique » dans le Règlement de 2015 sur la réutilisation des informations du secteur public (RPSI). Il existe un certain chevauchement, car le rôle et les fonctions de base d'un organisme du secteur public aux fins du RPSI peuvent être un point de départ utile pour démontrer l'autorité officielle à ces fins. Cependant, vous ne devez pas supposer qu'il s'agit d'un test identique. Consultez notre Guide du RPSI pour en savoir plus sur les tâches publiques dans le contexte du RPSI.

L'article 6, paragraphe 3, exige que la tâche ou l'autorité pertinente soit définie par le droit interne. Il s'agira le plus souvent d'une fonction statutaire. Toutefois, le considérant 41 précise qu'il n'est pas nécessaire qu'il s'agisse d'une disposition légale explicite, tant que l'application de la loi est claire et prévisible. Cela signifie qu'il comprend des tâches, des fonctions ou des pouvoirs clairs en common law ainsi que ceux énoncés dans la loi ou les directives statutaires.

Vous n'avez pas besoin d'une autorisation légale spécifique pour l'activité de traitement particulière. Le fait est que votre objectif global doit être d'accomplir une tâche d'intérêt public ou d'exercer une autorité publique, et que cette tâche ou autorité globale a une base juridique suffisamment claire.

Tout responsable du traitement qui exerce l'autorité publique ou accomplit une mission spécifique d'intérêt public. L'accent est mis sur la nature de la fonction et non sur la nature de l'organisation.

Exemple

Les compagnies des eaux privées sont susceptibles de pouvoir s'appuyer sur la base des tâches publiques même si elles ne relèvent pas de la définition d'une autorité publique dans la loi de 2018 sur la protection des données. En effet, elles sont considérées comme exerçant des fonctions d'administration publique et ils exercent des pouvoirs juridiques spéciaux pour effectuer des services d'utilité publique dans l'intérêt public. Consultez nos conseils sur les autorités publiques dans le cadre du RIE pour plus de détails.

Cependant, si vous êtes une organisation du secteur privé, vous pourrez probablement considérer la base des intérêts légitimes comme une alternative.

Consultez la page principale sur la base légale de ce guide pour en savoir plus sur la manière de choisir la base la plus appropriée.

L'article 8 de la loi de 2018 sur la protection des données (DPA 2018) stipule que la base des tâches publiques couvrira le traitement nécessaire pour :

Cependant, cette liste ne se veut pas exhaustive. Si vous avez d'autres fonctions officielles non statutaires ou des tâches d'intérêt public, vous pouvez toujours vous fier à la base de la tâche publique, tant que la base juridique sous-jacente à cette fonction ou tâche est claire et prévisible.

À des fins de responsabilité, vous devez être en mesure de préciser la tâche, la fonction ou le pouvoir pertinent et d'identifier son fondement dans la common law ou la loi. Vous devez également vous assurer que vous pouvez démontrer qu'il n'existe aucun autre moyen raisonnable et moins intrusif pour atteindre votre objectif.

Vous pouvez partager des informations personnelles avec un autre responsable du traitement ou une personne dans l'exercice licite de l'une de vos tâches, fonctions ou pouvoirs publics, s'il s'agit d'une utilisation claire et prévisible des informations. Pour ce faire, vous devez être en mesure d'identifier la base juridique pertinente à laquelle vous êtes soumis.

Cependant, vous ne pouvez pas vous fier aux tâches, fonctions ou pouvoirs publics d'un autre responsable du traitement comme base légale de votre traitement, y compris la divulgation de données à caractère personnel, car il ne s'agit pas d'une utilisation claire et prévisible des informations.

Exemple

Une agence gouvernementale a le pouvoir statutaire de mener des recherches sur les habitudes d'achat en ligne des consommateurs. L'agence demande aux commerçants de partager les données personnelles d'un échantillon aléatoire de leurs clients pour lui permettre de remplir cette fonction. Elle explique qu'elle traitera les données dans le cadre de la « tâche publique » une fois qu'elle aura reçu les informations.

Comme les détaillants ne sont pas soumis à la fonction statutaire de l'agence, ils ne peuvent pas partager les informations sur la base de la mission publique de l'agence. Cependant, ils peuvent envisager de divulguer les informations sur une autre base légale, par exemple des intérêts légitimes.

Les droits des personnes à l'effacement et à la portabilité des données ne s'appliquent pas si vous traitez sur la base d'une tâche publique. Cependant, les particuliers ont le droit de s'y opposer. Consultez nos conseils sur les droits individuels pour plus d'informations.

Vous devez envisager une base légale alternative si vous n'êtes pas convaincu que le traitement est nécessaire pour une tâche, une fonction ou un pouvoir pertinent clairement défini par la loi.

Si vous êtes une autorité publique (telle que définie dans la loi sur la protection des données de 2018), votre capacité à vous fier au consentement ou aux intérêts légitimes comme base alternative est plus limitée, mais ils peuvent être disponibles dans certaines circonstances. En particulier, les intérêts légitimes sont toujours disponibles pour un traitement qui ne relève pas de vos tâches en tant qu'autorité publique. D'autres bases légales peuvent également être pertinentes. Consultez nos conseils sur les autres bases légales pour plus d'informations.

N'oubliez pas que le RGPD du Royaume-Uni stipule spécifiquement qu'un traitement ultérieur à certaines fins doit être considéré comme compatible avec votre objectif initial. Cela signifie que si vous avez initialement traité les données personnelles pour une tâche ou une fonction pertinente, vous n'avez pas besoin d'une base légale distincte pour tout traitement ultérieur pour :

Si vous traitez des données de catégorie spéciale, vous devez également identifier une condition supplémentaire pour le traitement de ce type de données. La loi de 2018 sur la protection des données comprend des conditions spécifiques pour les fonctions parlementaires, statutaires ou gouvernementales dans l'intérêt public substantiel. Lisez la page de données de catégorie spéciale de ce guide pour nos dernières directives sur ces dispositions.

Pour vous aider à respecter vos obligations de responsabilité et de transparence, n'oubliez pas de :

Lien externe

Lien externe

Plus en détail - Orientations de l'ICO

Nous prévoyons d'élaborer des directives plus détaillées sur ce sujet.

Nous avons produit l'outil d'orientation interactif sur la base légale, pour fournir des conseils personnalisés sur la base légale susceptible d'être la plus appropriée pour vos activités de traitement.