Le contrat constitue l’une des bases légales prévues par le RGPD pour la mise en œuvre de traitements de données personnelles. Cependant, son utilisation comme base légale nécessite que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées.
Conditions pour l’Application de la Base Légale « Contrat »
Le recours au contrat comme base légale est soumis à trois conditions principales :
- Existence d’une Relation Contractuelle ou Précontractuelle : Le traitement doit être lié à une relation contractuelle ou précontractuelle entre l’organisme et la personne concernée. Cette relation peut inclure des mesures précontractuelles prises à la demande de la personne.
- Validité du Contrat : Le contrat doit être valide selon le droit applicable, respectant les exigences légales en vigueur.
- Nécessité du Traitement : Le traitement doit être objectivement nécessaire à l’exécution du contrat. Cela signifie qu’il doit uniquement servir à permettre à l’organisme d’exécuter le contrat spécifique avec la personne concernée, sans viser d’autres objectifs. De plus, l’organisme doit s’assurer qu’il n’existe pas de méthode moins intrusive pour exécuter le contrat que le traitement envisagé.
Détermination de la Nécessité du Traitement
Pour déterminer si un traitement est nécessaire à la fourniture du produit ou du service, l’organisme doit tenir compte de l’objectif du contrat, en considérant les attentes mutuelles des parties.
Par exemple, si une personne souscrit à un abonnement à un magazine en ligne, le traitement des données est nécessaire pour permettre à la personne de consulter ou de télécharger des articles en échange d’un paiement. Cependant, les traitements visant à améliorer les services ne peuvent généralement pas être fondés sur cette base légale, car le contrat peut être exécuté sans ces traitements.
Conséquences de la Fin du Contrat
La base légale « contrat » s’applique aux traitements mis en œuvre avant ou pendant la durée du contrat. Cependant, certains traitements liés à l’exécution du contrat peuvent être poursuivis après sa conclusion, s’ils sont indispensables à la relation contractuelle.
Par exemple, les traitements visant à assurer les garanties légales ou contractuelles liées aux biens ou services fournis peuvent se fonder sur cette base légale. Une fois le contrat terminé, les données conservées doivent être effacées conformément au RGPD.
Conséquences du Choix de la Base Légale « Contrat »
Pour les organismes traitant les données, les traitements fondés sur cette base légale sont soumis au mécanisme de coopération du guichet unique. Pour les personnes concernées, le droit d’opposition n’est pas applicable aux traitements basés sur le contrat, mais le droit à la portabilité des données peut être exercé.