26 avr 2019

Focus sur les récentes guidelines de l’EDPB relatives à la base légale du contrat

Focus sur les récentes guidelines de l’EDPB relatives à la base légale du contrat dans le cadre de la fourniture de service en ligne

La base légale du contrat (article 6-1-b) du RGPD) peut être invoquée uniquement si  le traitement est considéré comme nécessaire à l’exécution dudit contrat. Ainsi, si le service demandé peut être fourni sans que le traitement en question ait lieu, l’EDPB préconise de s’appuyer sur une autre base légale, en particulier le consentement ou l’intérêt légitime.

Exemple applicatif : Cas d’un utilisateur faisant des achats en carte bancaire sur un site de e-commerce et souhaitant être livré à son domicile.

L’EDPB considère que pour remplir le contrat, le e-commerçant doit traiter les données de paiement (carte bancaire et adresse de facturation) ainsi que l’adresse du domicile de la personne concernée pour la livraison. Ainsi, l’article 6-1-b) est applicable comme base juridique pour ces traitements. En revanche si l’utilisateur choisit d’être livré en point relais, le traitement de l'adresse du domicile de la personne concernée n'est plus nécessaire pour l'exécution du contrat d'achat. Si le responsable de traitement souhaite tout de même collecter cette donnée, il doit s’appuyer sur une autre base légale.

Sur la publicité ciblée : La base du contrat ne peut pas être invoquée pour fonder un traitement de données à des fins de publicité ciblée même si cette publicité finance indirectement la fourniture d’un service. Pour l’EDPB, la publicité ciblée est quasiment toujours distincte de la finalité objective du contrat conclu avec la personne concernée.

Pour étayer son raisonnement, le board s’appuie, de manière assez contestable, sur l’article 21 du RGPD, en vertu duquel les personnes concernées ont le droit absolu de s’opposer au traitement de leurs données à des fins de marketing direct.

Par ailleurs, l’EDPB indique, dans cette partie dédiée à la publicité ciblée, que les données personnelles ne peuvent pas être considérées comme des marchandises. Si les personnes concernées peuvent consentir librement au traitement de leurs données, elles ne peuvent pas aliéner leurs droits fondamentaux.

Enfin, l’EDPB rappelle qu’en vertu des dispositions de ePrivacy en vigueur (article 5(3)),  le dépôt et la lecture d’un cookie publicitaire sont expressément soumis au consentement, indépendamment de la base légale retenue pour justifier le traitement de données personnelles subséquent.

Sur la personnalisation du contenu : la personnalisation de contenus peut être fondée sur la base du contrat lorsqu’elle constitue un élément intrinsèque ou attendu du service fourni. Le service doit notamment avoir été promu et « marketé » en ce sens.

Attention toutefois, le recours à la base légale du contrat dans ce cas reste très encadré et ne peut être systématique.  En particulier, le contrat n’est pas une base légale applicable lorsque la personnalisation du contenu vise uniquement à accroître l'engagement de l'utilisateur avec un service mais ne fait pas partie intégrante de son utilisation.

Exemple applicatif : Service d’agrégateur de News

Le service choisi par l'utilisateur consiste à fournir aux utilisateurs un contenu sur mesure à partir de plusieurs sources en ligne via une interface unique. Pour ce faire, l’éditeur du service demande aux utilisateurs de déclarer ses centres d’intérêt afin de constituer un profil.
Dans ce cas, la personnalisation peut être considérée comme objectivement nécessaire à l'exécution du contrat entre l'éditeur du service et l'utilisateur, car le service est directement liée au contenu personnalisé. Le contrat peut donc constituer une base juridique applicable.

Les guidelines de l’EDPB semblent fermer la porte à l’invocation de toute autre base légale que celle du consentement pour le traitement de données personnelles à des fins de publicité ciblée.

Ainsi, les cookies publicitaires ne peuvent être considérés comme strictement nécessaires à l’exécution du service au sens de l’exception visée dans ePrivacy (voir également conclsins de l’arrêt Challenge), et ne peuvent être considérés comme étant objectivement nécessaires à l’exécution d’un contrat au sens de l’article 6-1-b) du RGPD (Guidelines EDPB).

Par ailleurs,  si l’EDPB fait expressément référence à la base légale de l’intérêt légitime pour justifier le traitement de données à des fins de prévention contre la fraude ou d’amélioration du service, le board se garde bien d’y faire référence dans la partie relative à la publicité ciblée, tout comme il se garde bien de l’exclure clairement.

Si l’EDPB semble avoir pris en compte les réalités du marché concernant la personnalisation du contenu - les éditeurs ont en effet de plus en plus tendance à proposer des services personnalisés pour répondre aux attentes des utilisateurs-, on peut regretter que le board n’ait pas étendu ce raisonnement à la publicité ciblée.

En effet, les utilisateurs ne souhaitent pas uniquement avoir accès à un contenu personnalisé et adapté à leurs centres d’intérêt, mais également à un contenu gratuit. Or, la personnalisation du contenu publicitaire, permettant de répondre à cette attente de gratuité, ne devrait pas être soumise à des règles plus sévères que celles admises pour la personnalisation du contenu lui-même.

On peut également regretter que l’EDPB n’ait pas élevé son raisonnement en mettant en balance d’autres droits fondamentaux pour étayer ses guidelines, comme le droit à la liberté d’expression et d’information visé à l’article 11 de la Charte des droits fondamentaux de l’Union Européenne.

Accéder aux guidelines