L’obligation légale : dans quels cas fonder un traitement sur cette base légale ?

L’obligation légale doit être prévue dans le cadre juridique national ou européen. En France, les obligations imposées par les lois d’autres Etats ne peuvent donc pas fonder un traitement (sauf si elles sont relayées dans l’ordre juridique national, par exemple dans le cadre d’une convention bilatérale). De même, une clause contractuelle ne peut pas constituer l’obligation légale autorisant la mise en œuvre d’un traitement – la base légale « contrat » sera dans ce cas plus appropriée.

Par exemple, les dispositions légales encadrant le « droit de communication » de l’administration fiscale, qui permet à ses agents d'avoir connaissance de documents et données dans les conditions prévues par le droit national, constituent une obligation légale de nature à fonder la transmission, par les organismes sollicités par l’administration, des données à caractère personnel requises. En revanche, la transmission de données à la suite de requêtes provenant d’autorités judiciaires tierces à l’Union européenne ne peut pas se fonder, en l’absence de mécanisme d’entraide judiciaire, sur la base légale « obligation légale » et une base légale alternative doit donc être recherchée.

Le responsable du traitement souhaitant se fonder sur cette base légale ne doit pas avoir le choix de se conformer ou non à l’obligation. Une possibilité qui lui est ouverte ou une autorisation de mettre en œuvre un traitement de données ne constitue pas une obligation légale.

Par exemple, les dispositions du code de la sécurité intérieure relatives à la vidéoprotection, qui prévoient que des dispositifs vidéo peuvent être mis en œuvre par les autorités publiques compétentes ou par les établissements ouverts au public, ne constituent pas une obligation légale permettant de fonder légalement la mise en œuvre de tels traitements.

De même, le responsable du traitement ne devrait pas avoir de marge d’appréciation excessive quant à la façon de se conformer à cette obligation légale : un simple objectif général prévu par une disposition légale ne peut pas constituer un fondement juridique suffisant à autoriser la mise en œuvre d’un traitement. Le cadre juridique doit impliquer nécessairement la mise en œuvre du traitement pour que l’obligation légale constitue une base valide.  

Par exemple, l’obligation générale d’assurer la sécurité des données traitées par les organismes ne constitue pas une obligation assez précise pour fonder légalement la mise en œuvre de traitements de détection des intrusions dans une base de données. De tels traitements doivent se fonder sur une autre base légale, par exemple sur l’intérêt légitime.

Si le cadre juridique ne doit pas expressément prévoir la création ou la mise en œuvre d’un ou plusieurs traitements de données à caractère personnel, leurs finalités doivent impérativement être définies dans les dispositions en cause pour que l’obligation légale puisse valablement fonder un traitement. Ces dispositions légales peuvent en outre concerner d’autres conditions essentielles de mise en œuvre d’un traitement (les données concernées, leurs durées de conservation, les personnes à qui elles peuvent être communiquées, etc.). En pratique, plus ces dispositions sont précises, plus il est facile pour les organismes concernés de recourir à cette base légale.

Le RGPD n’impose pas de niveau de norme particulier : cette obligation légale peut donc découler de règlements européens, d’une loi, d’un décret, d’un arrêté, etc. Elle peut ainsi reposer sur plusieurs niveaux de norme, par exemple sur une disposition législative imposant la mise en œuvre de traitements de données, précisée par des dispositions réglementaires imposant des obligations plus spécifiques.

Par exemple, certains dispositifs d’alerte professionnelle mis en œuvre par le secteur public se fondent sur la loi n° 2016-1691 du 9 décembre 2016 (dite loi « Sapin II »), qui prévoit que ces organismes doivent mettre en œuvre des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels, et sur le décret n° 2017-564 du 19 avril 2017 qui fixe les procédures de recueil des signalements émis par les lanceurs d'alerte.

Par exemple, les dispositions du code monétaire et financier imposent à certaines professions (« personnes assujetties ») des obligations de vigilance à l’égard de leur clientèle en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, qui imposent la mise en œuvre de traitements de données ; ces organismes peuvent donc fonder ces traitements sur cette obligation légale.

En revanche, l’obligation de déclaration des impôts à l’administration fiscale faite aux contribuables n’a pas pour conséquence de fonder les traitements mis en œuvre par cette administration sur l’obligation légale, qui sont fondés sur sa mission d’intérêt public.