Quand peut-on traiter des données à caractère personnel?

Réponse

Votre entreprise/organisation ne peut traiter des données à caractère personnel que dans les situations suivantes:

• avec le consentement des personnes concernées;
• lorsqu'il existe une obligation contractuelle (un contrat entre votre entreprise/organisation et un client);
• pour répondre à une obligation légale (en vertu de la législation UE ou nationale);
• lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public (en vertu de la législation UE ou nationale);
• pour protéger les intérêts vitaux d’une personne;
• pour poursuivre les intérêts légitimes de votre organisation, mais uniquement après avoir vérifié que les droits fondamentaux et les libertés de la personne dont vous traitez les données ne sont pas sérieusement affectés. Si les droits de la personne concernée prévalent sur vos intérêts, les données de celle-ci ne peuvent pas être traitées en vous appuyant sur l'intérêt légitime. Afin de déterminer si les intérêts légitimes de traitement de votre entreprise/organisation prévalent sur ceux de la personne concernée, les circonstances personnelles doivent être prises en considération.

Exemples

Consentement
Votre entreprise/organisation propose une application de musique et demande le consentement des citoyens pour traiter leurs préférences musicales afin de leur suggérer des chansons et d’éventuels concerts susceptibles de les intéresser.

Obligation contractuelle
Votre entreprise/organisation vend des articles en ligne. Elle peut traiter des données nécessaires pour agir à la demande de la personne avant de conclure le contrat et pour l’exécution de celui-ci. Ainsi, vous pouvez traiter le nom, l’adresse de livraison, le numéro de carte de crédit (en cas de paiement par carte), etc.

Obligation légale
Vous avez votre propre entreprise et des employés. Afin d’obtenir une couverture sociale, la loi vous oblige à fournir aux autorités compétentes des données à caractère personnel (par exemple le revenu hebdomadaire de vos employés).

Intérêt public
Exemple: une association professionnelle telle qu’un barreau ou une association des professionnels de la santé investie d’une autorité officielle pour le faire prend des mesures disciplinaires à l’encontre de certains de ses membres.

Intérêts vitaux d’une personne
Un hôpital traite un patient impliqué dans un grave accident de la route. L'hôpital n'a pas besoin de son consentement pour chercher son identité et vérifier s’il figure dans la base de données de l'hôpital pour trouver ses antécédents médicaux ou contacter ses proches.

Intérêts légitimes de votre organisation
Votre entreprise/organisation garantit la sécurité de son réseau en contrôlant l’utilisation des dispositifs informatiques de ses employés. Votre entreprise/organisation peut légitimement traiter des données à caractère personnel à cette fin, mais uniquement si elle opte pour la méthode la moins intrusive à l’égard de la vie privée et des droits relatifs à la protection des données de vos employés, par exemple en limitant l’accessibilité de certains sites internet. (Notez que cette démarche est impossible dans les États membres de l'UE où le droit national fixe des règles plus strictes pour le traitement des données dans le contexte professionnel.)

Références

• Article 6; Considérants 40, 41, 42, 43, 44, 45, 46, 47, 48, 49
• Groupe de travail «Article 29» Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE

Examples

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).