En droit civil, une obligation désigne un lien de droit entre plusieurs personnes qui sont tenues de faire ou ne pas faire quelque chose. Une obligation dite légale est fixée par la loi. 

Dans cet article nous vous expliquons dans quelles conditions une obligation légale peut être désignée comme base légale d’un traitement. 

Alors détendez-vous on vous explique tout en 5 min ! ?‍♂️

Les 6 bases légales prévues par le RGPD 

Le respect d’une obligation légale est une des 6 bases légales prévues par le RGPD ? : 

• Le consentement, 
• Le contrat, l’article de la semaine dernière, 
• L’obligation légale, l’article de cette semaine, 
• La mission d’intérêt publique, 
• La sauvegarde des intérêts vitaux, 
• L’intérêt légitime. 

Pour rappel, choisir sa base légale est obligatoire pour que le traitement soit licite. Ce choix détermine également les droits dont vont pouvoir se prévaloir les personnes concernées pour le traitement considéré. Les droits qui peuvent être exercés ne seront pas les mêmes en fonction de la base choisie. 

Pour en savoir plus, consultez nos articles précédents et suivez-nous sur LinkedIn pour être avertis dès la publication de nos prochains articles ! ?‍?

La base légale « obligation légale » : qu’est-ce que c’est ? ?

Le responsable de traitement peut choisir cette base légale lorsque la mise en œuvre d’un traitement est imposée par le droit applicable. Autrement dit, le responsable de traitement n’a pas le choix, il doit nécessairement réaliser le traitement pour respecter son obligation. C’est le texte qui définit les finalités du traitement.  

Par exemple, le Code du travail impose à l’employeur de tenir un registre unique du personnel. Il doit comporter de nombreuses données personnelles (nom, prénom, nationalité, sexe, emploi, qualification, etc.). Le responsable de traitement doit tenir ce registre sinon il manque à son obligation légale et s’expose à une sanction pénale. 

Dans quelles conditions choisir cette base légale ? 

L’obligation légale doit répondre à quatre caractéristiques pour être légitiment choisi comme base légale.
✅ Elle doit être : 

• Définie par le droit européen ou le droit national 

L’obligation dont se prévaut le responsable de traitement être définie par le droit national ou le droit de l’Union européenne. L’obligation peut par exemple découler d’une loi, d’un arrêté, d’un règlement européen, etc. Le droit national qui fonde l’obligation est le droit auquel le responsable de traitement est soumis.  

Notez qu’une clause contractuelle ne peut pas être considéré comme une obligation légale. Dans ce cas, la base légale devra être revue. Le responsable de traitement choisira alors le contrat comme base légale. Retrouvez notre article sur le sujet en cliquant ici. 

• Impérative 

Le responsable de traitement doit être soumis à cette obligation légale. Comme expliqué plus tôt, il ne doit pas avoir d’autre choix que de se soumettre à cette obligation. En effet, il doit être contraint de réaliser le traitement pour répondre à son obligation. Le texte identifié comme posant l’obligation doit imposer le traitement au responsable de traitement. 

Enfin, l’obligation légale doit prévoir la mise en œuvre du traitement. Le texte ne doit pas laisser au responsable de traitement  une marge d’appréciation trop large. Concrètement, le texte doit envisager comment le responsable de traitement doit assurer le traitement pour répondre à son obligation. 

• Claire et précise 

L’obligation légale doit a minima préciser la finalité du traitement. Le traitement doit répondre à un objectif, non pas à un cumul d’objectifs. C’est le principe de limitation des finalités qui entre en jeu. Pour connaitre les spécificités de ce principe, retrouvez notre article sur le sujet.  

• Destinée au responsable de traitement, et non aux personnes concernées 

Le texte qui fonde l’obligation légale doit clairement indiquer que l’obligation concerne responsable de traitement. Il doit être le seul à devoir répondre de cette obligation pour que la base légale puisse être choisie. Le traitement ne peut pas être fondé sur une obligation légale qui serait destinée aux personnes dont les données sont traitées.  

Par exemple, l’administration fiscale qui traite les déclarations d’impôts des contribuables, ne peut pas fonder ce traitement sur la base d’une obligation légale. L’obligation de déclarer les impôts vise en effet les personnes, pas l’entité qui traite les déclarations. Ce traitement est plutôt fondé sur la mission d’intérêt public. 

Si ces conditions ne sont pas remplies, le traitement des données ne peut pas être fondé sur une obligation légale et le responsable de traitement doit choisir une autre base juridique. 

Pour illustrer, le 16 juin 2020, l’Autorité de protection des données (APD, l’autorité de contrôle belge) se prononce au sujet d’une plainte déposée par des parents d’élèves contre une école. Pour réaliser une « enquête de bien-être » chez les élèves, l’établissement communique un questionnaire aux enfants. Ce document contient des données personnelles des enfants et permet clairement de les identifier. 

L’école fonde ce traitement sur une obligation légale découlant d’un décret flamand « relatif à l’encadrement des élèves dans l’enseignement fondamental, l’enseignement secondaire et dans les centres d’encadrement des élèves ». L’encadrement des élèves comprend ici : 

• La carrière scolaire,  
• L’apprentissage et l’étude,  
• Le fonctionnement psychique et social, 
• Les soins de santé préventif. 

Des parents d’élèves portent plainte, ils font valoir que leur consentement est requis pour que l’école procède à ce traitement de données. L’APD juge que l’obligation légale existe, mais n’implique pas que les élèves répondent à un questionnaire permettant de les identifier. Le décret pose les finalités du traitement, mais ne prévoit pas les données personnelles des élèves (mineurs de moins de 13 ans) devant impérativement être traitées.  

L’autorité de contrôle belge conclu que l’école agit au-delà des moyens prévus par le texte pour répondre à l’obligation légale à laquelle elle est soumise. L’obligation légale n’impose pas que l’école réalise un questionnaire auprès des élèves. Ainsi, la base légale du traitement ne peut pas être fondée sur l’obligation légale. La base légale de ce traitement est le consentement. Celui-ci doit être recueilli auprès des responsables légaux des enfants mineurs. 

Pour en savoir plus, consultez la décision rendue : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-31-2020.pdf 

Quelles conséquences sur le droit des personnes ? ?

Les personnes concernées par le traitement fondé sur une obligation légale ne pourront pas exercer leur droit d’opposition, ni leur droit à la portabilité de leur donnés. En effet, l’obligation légale étant impérative, le responsable de traitement ne peut pas faire droit à la demande d’opposition d’une personne.  

Pour respecter vos obligations, parmi les informations que vous devez communiquer aux personnes (cf. articles 13 et 14 du RGPD), prévenez les personnes qu’elles ne pourront pas exercer ces droits dans une politique interne et/ ou externe de confidentialité. 

Mission RGPD et les bases légales 

Il est difficile pour vous de savoir quelle base légale choisir ? Vous n’avez pas le temps nécessaire à accorder à la gestion de votre mise en conformité ? Vous êtes perdu ? 

✅ Mission RGPD met à votre disposition de nombreux modèles de documents utiles pour votre conformité. Parmi ces documents, retrouvez des modèles de politiques interne et externe de confidentialité. Téléchargez-les et adaptez-les à votre entreprise.  

Gagnez du temps avec un document conforme pré-remplis !  
Ne perdez plus de temps, c’est si simple !