D’après l’article 1101 du Code civil, « Le contrat est un accord de volontés entre deux ou plusieurs personnes destinées à créer, modifier, transmettre ou éteindre des obligations. »
Dans le cadre du RGPD, l’exécution d’un contrat ou de mesures précontractuelles peut servir de base légale au traitement de données personnelles. Il existe cependant plusieurs conditions à remplir pour appliquer cette base légale au traitement.
Alors asseyez-vous confortablement avec un thé et on vous explique tout en 5 min ! ?
La réponse au sondage « Dans le cadre d’un achat en ligne, est-ce que demander l’adresse postale du client fait preuve de l’exécution du contrat de vente ? ? »
Pour introduire le sujet, nous vous avons proposé un sondage, le 22 mars dernier sur notre page LinkedIn, en vous demandant si demander l’adresse postale du client dans le cadre d’un achat fait preuve de l’exécution d’un contrat de vente.
Bien joué ! Sur 95 votants, 74% d’entre vous ont « Non ? ». En effet, pour exécuter un contrat de vente, le vendeur peut demander plus d’informations à l’acheteur, si celles-ci sont nécessaires à l’exécution du contrat.
Les 6 bases légales prévues par le RGPD
L’exécution d’un contrat ou de mesures précontractuelles est l’une des 6 bases légales prévues à l’article 6 du RGPD ? :
- Le consentement, que nous avons traité la semaine dernière,
- Le contrat, que nous abordons aujourd’hui,
- L’obligation légale,
- La mission d’intérêt publique,
- La sauvegarde des intérêts vitaux,
- L’intérêt légitime.
Choisir sa base légale est obligatoire pour que le traitement soit licite. Cela détermine également les droits dont vont pouvoir se prévaloir les personnes concernées pour le traitement considéré. Les droits ne seront pas les mêmes en fonction de la base choisie. Pour en savoir plus, consultez nos articles précédents et suivez-nous sur LinkedIn pour être avertis dès la publication de nos prochains articles ! ??
La base légale « contrat » : qu’est-ce que c’est ? ?
Le traitement peut être fondé sur un contrat. Néanmoins, il doit être objectivement nécessaire à l’exécution de l’obligation contractuelle. Une Cette base légale est applicable lorsque le traitement de données est indispensable pour l’exécution d’un contrat entre la personne concernée et le responsable de traitement.
Pour mieux comprendre ce que cela signifie, prenons un exemple. Un professionnel vend des paires de lunettes sur son site internet. Lorsqu’il vend une paire, l’acheteur et le vendeur sont liés par un contrat de vente. En contrepartie du paiement de l’acheteur, le vendeur doit livrer la paire de lunettes. Pour cela, il a besoin a minima de son nom, prénom, adresse postale et de ses informations bancaires pour procéder au paiement en ligne. En revanche la collecte du sexe de la personne, de sa situation familiale et de sa nationalité ne semble pas nécessaire pour délivrer la paire de lunettes.
Le vendeur collecte donc les données nécessaires pour exécuter son obligation de livrer le bien à la personne. La base légale de son traitement sera alors l’exécution du contrat conclu avec son client. Collecter les données strictement nécessaires au traitement permet de répondre à l’obligation de minimisation. Pour tout comprendre sur ce principe, retrouvez-notre article.
Dans quels cas l’exécution d’un contrat peut servir de base légale ?
Pour résumer, l’exécution d’obligations contractuelles ou précontractuelles peut être la base légale du traitement si :
- Il existe une relation contractuelle ou précontractuelle entre le responsable de traitement et la personne concernée.
Le responsable de traitement doit prouver qu’il est engagé dans une relation de cette nature avec la personne concernée. Cette base légale peut être choisie que le contrat existe ou qu’il n’existe pas encore. Dans le cas où le traitement se fonde sur des mesures précontractuelles, il n’est pas obligatoire que le contrat soit finalement conclu.
Pour illustrer, prenons maintenant l’exemple d’un traitement nécessaire à l’exécution de mesures précontractuelles. C’est le cas lorsque la personne veut vérifier si le vendeur de lunettes peut livrer le bien à son domicile. Le traitement de cette donnée par le responsable de traitement peut quand même être fondée sur l’exécution de mesures précontractuelles. Ici le responsable de traitement envisage que le contrat soit conclu, il peut quand même choisir cette base légale.
- Le contrat est licite au regard du droit applicable.
Pour être licite le contrat doit répondre aux exigences du droit français. D’une manière générale c’est le droit des contrats qui est applicable. Pour certains contrats des contraintes spécifiques doivent être respectées. C’est par exemple le cas lorsque le contrat est conclu avec un consommateur, le droit de la consommation s’applique alors.
- Le traitement est nécessaire à l’exécution du contrat ou des mesures précontractuelles.
Le traitement qui est effectué doit uniquement servir à exécuter le contrat. C’est-à-dire qu’il ne peut pas servir un autre objectif que de fournir le bien ou le service à la personne concernée. Par exemple, la collecte des données pour l’envoi de la paire de lunettes ne peut pas servir à l’envoi d’une newsletter. Dans ce cas, le responsable de traitement opère un nouveau traitement qui ne peut pas être fondé sur la base légale du contrat. Cela rejoint le principe de limitation des finalités, consultez notre article sur le sujet pour en savoir plus !
D’autre part, le responsable de traitement doit considérer les attentes raisonnables de son cocontractant. Le responsable de traitement s’assure, avant la mise en œuvre du traitement, que celui-ci est le seul moyen envisageable pour exécuter le contrat.
Quelles sont les conséquences du choix de cette base légale ?
- Conséquences à la fin du contrat
Dès que le contrat prend fin, même en cas de rupture contractuelle, le traitement de données doit cesser. Ce principe reste néanmoins assorti d’une exception pour les traitements inextricablement liés à l’exécution du contrat.
Pour reprendre l’exemple du vendeur de lunettes, une fois que l’acheteur a reçu sa paire, ses données doivent en principe être supprimées. Mais si la personne demande l’application de la garantie légale de conformité, le vendeur doit nécessairement traiter les données de la personne pour répondre à sa demande. Dans ce cas, étant donné que ce nouveau traitement est directement lié à l’exécution du contrat, la même base légale s’applique.
- Conséquences pour les parties au contrat
Pour le responsable de traitement, le choix de cette base légale implique que le traitement est soumis au mécanisme de coopération du guichet unique. Mais il ne concerne que les entreprises qui opèrent des traitements transfrontaliers. C’est-à-dire que le traitement est opéré :
- Soit par une entreprise présente dans plusieurs États de l’Union européenne,
- Soit par une entreprise établie dans un seul État qui traite les données de personnes présentes dans d’autres États membres.
Dans ce cas, une autorité « chef de file » est identifiée. Celle qui doit être choisie est celle du pays membre dans lequel le siège social de l’entreprise est établi. Pour plus d’information concernant le mécanisme du marché unique, vous pouvez consulter le site de la CNIL.
S’agissant des personnes concernées, leurs droits sont impactés par le choix de la base légale du contrat. Elles ne pourront pas s’opposer au traitement. En revanche elles pourront exercer leur droit à la portabilité. Nous publierons prochainement une nouvelle série d’articles au sujet des droits des personnes.
Mission RGPD et la base légale « contrat »
Vous avez du mal à savoir quelle base légale choisir ? Vous n’avez pas le temps nécessaire à accorder à la gestion de votre mise en conformité ?
✅ Avec Mission RGPD pas de panique, dans nos modèles de traitement nous vous proposons une base légale applicable.
De plus dans chacune des fiches de traitement, pour respecter le principe d’accountability, vous pouvez déposer en pièce jointe le modèle de contrat concerné.
Ainsi, vous centralisez tous les documents nécessaires au même endroit !