Rgpd : Importance de la transparence et impact sur la validité de la preuve

Plus de deux ans après l’entrée en application du RGPD, le principe de transparence qu’il consacre conserve une grande importance. Il est crucial de mettre à jour de façon régulière la notice d’information pour veiller à l’adapter à l’évolution de l’entreprise et de la jurisprudence des autorités nationales de protection des données.

Le droit à l’information est l’un des piliers du Règlement général sur la protection des données (« RGPD »). En effet, « afin de permettre à la personne concernée d’exercer ses droits, il est indispensable que celle-ci soit, d’abord et avant tout, informée, d’une part, du fait qu’un ou plusieurs responsable(s) de traitement traite(nt) des données à caractère personnel la concernant, et, d’autre part, de l’existence des droits qui lui sont reconnus par le RGPD » .

Pour répondre à cette exigence de transparence, les entreprises se sont, à l’époque de l’entrée en application du RGPD, empressées de rédiger ou de mettre à jour des notices d’information et de les envoyer aux personnes concernées, dont les boîtes de réception ont été inondées.

Plus de deux ans plus tard, il peut être opportun de remettre lesdites notices d’information sur le métier, pour trois raisons au moins.

1e raison : Tenir compte d’une meilleure connaissance des traitements mis en œuvre

En premier lieu, les entreprises ont, bien souvent, mis à profit les deux années écoulées pour réaliser des progrès considérables dans leur conformité au RGPD. Elles ont ainsi acquis une meilleure connaissance des finalités pour lesquelles elles ont besoin de traiter des données et des modalités desdits traitements. De nouveaux traitements peuvent également avoir été mis en œuvre.

Il n’est donc pas superflu de vérifier que la notice d’information – parfois rédigée dans l’urgence – reflète de façon fidèle les pratiques de l’entreprise en matière de traitement de données.

2e raison : Tenir compte des exigences des autorités de protection des données

Deuxièmement, ces deux années ont également permis aux autorités nationales de protection des données de clarifier et d’affiner leur jurisprudence en matière de transparence.

Par exemple, dans une décision 24/2020 du 14 mai 2020, l’Autorité belge de protection des données (« APD ») a infligé une amende de 50.000 € à un assureur en raison notamment d’un manque de transparence, en soulevant les problèmes suivants :

• aucune distinction claire n’était réalisée entre le traitement des données relatives à la santé et celui des données « ordinaires », alors qu’une telle distinction est essentielle pour déterminer la base de licéité du traitement ;
• une incohérence existait entre la notice vie privée et le formulaire utilisé pour collecter le consentement requis pour certains traitements ;
• la notice vie privée n’explicitait pas, sauf exception, la base de licéité de chaque transfert de données personnelles ;
• la notice vie privée n’expliquait pas en quoi consistait l’intérêt légitime invoqué comme base de licéité ;
• la notice vie privée ne mentionnait pas la possibilité pour la personne concernée d’obtenir des informations sur la mise en balance des intérêts, ou encore d’exercer son droit d’opposition (et en particulier en matière de marketing direct).

L’APD a manifestement souhaité rappeler aux responsables de traitement que l’exercice de la transparence n’est pas purement formel : ceux-ci devront donc veiller à passer en revue leurs notices vie privée pour vérifier notamment que la base de  licéité associée à chaque finalité (et à chaque transfert) est identifiée et que les intérêts légitimes invoqués sont suffisamment explicités.

3^e raison : Eviter des problèmes de validité de la preuve

Troisièmement, il n’est pas rare que des responsables de traitement souhaitent utiliser des données en leur possession à des fins de preuve dans le cadre d’un contentieux. 

Se pose alors parfois la question de la régularité de telles preuves.  En effet, si les données en question peuvent être qualifiées de données à caractère personnel au sens du RGPD, elle doivent être collectées et traitées en conformité avec les principes que cette réglementation établit.  Ainsi, le responsable de traitement doit notamment veiller à ce que les données soient traitées de façon licite, pour des finalités précises et divulguées « au moment où les données en questions sont obtenues » si elles sont collectées auprès de la personne concernée (art. 13.1 du RGPD) ou dans un délai d’un mois après avoir obtenu les données dans le cas contraire (art. 14.3 du RGPD).

Qu’advient-il si le responsable de traitement n’a pas rempli ses obligations en matière d’information ?  Dans une récente décision[1], le Tribunal du travail du Brabant wallon examinait un cas de licenciement pour motif grave.  L’un des motifs avancés par l’employeur résultait de discordances entre les rapports d’activités de l’employée et les données du GPS installé dans son véhicule de fonction.  L’employée n’avait toutefois jamais été informée du traitement de ses données de navigation.  Le tribunal a donc écarté cette preuve recueillie illicitement.

Cette décision s’inscrit – comme d’autres, particulièrement en matière de droit du travail – à contre-courant de la tendance consistant à appliquer la jurisprudence Antigone en matière civile.  Pour rappel, en vertu de celle-ci, le juge doit avoir égard  à la preuve recueillie de façon illicite sauf « lorsque le respect de certaines conditions de forme est légalement prescrit à peine de nullité; lorsque l'irrégularité commise entache la crédibilité de la preuve; lorsque l'usage de cette preuve est contraire au droit à un procès équitable »[2].

Veiller à ce que la notice d’information englobe de tels traitements potentiels – qui ne seront parfois mobilisés qu’en cas de situation conflictuelle – permet donc d’éviter de se retrouver dans la situation inconfortable où la preuve d’une faute ou d’un manquement ne peut pas être exploitée en justice. 

Conclusion

Pour toutes les raisons qui précèdent, il convient d’envisager les notices d’information comme des outils vivants, appelés à évoluer au gré de la vie de l’entreprise, de l’évolution de ses besoins et des traitements qu’elle met en œuvre.  La nécessité d’une éventuelle mise à jour devrait dès lors être examinée régulièrement.

par Laure-Anne NYSSEN, Counsel, Philippe & Partners 

[1] Tribunal du travail du Brabant wallon, division de Wavre (2e chambre), 09/04/2019, J.L.M.B., 2020/29, pp. 1349 à 1352.

[2] K. Rosier, « Illégalité d'un système de traçage G.P.S. et preuve irrégulière », J.L.M.B., 2020/29, pp. 1353 à 1355.