Le contrat : dans quels cas fonder un traitement sur cette base légale ?

21 février 2020

Le contrat est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées.

Le contrat peut valablement fonder un traitement sous réserve que celui-ci soit objectivement nécessaire à l’exécution de ce contrat : il ne suffit pas que le traitement de données soit mentionné dans des clauses contractuelles ou dans des conditions générales d’utilisation. De même, cette base légale peut fonder un traitement nécessaire à l’exécution de mesures précontractuelles, c’est-à-dire de mesures préalables à la signature d’un contrat et qui en facilitent la conclusion, à condition que ces mesures soient prises à la demande des personnes.

Qui peut être concerné par la base légale « contrat » ?

Le contrat est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données personnelles. Plus précisément, cette base légale peut fonder un traitement nécessaire à l’exécution d’un contrat entre le responsable du traitement et la personne concernée ou de mesures préalables à la conclusion d’un tel contrat prises à la demande de cette personne.

Cette base légale concerne donc, en premier lieu, les traitements mis en œuvre par des organismes privés dans le cadre d’une relation contractuelle avec les personnes concernées par le traitement. Elle peut autoriser également la mise en œuvre de traitements par des organismes publics, dès lors qu’ils entretiennent une relation contractuelle ou précontractuelle avec les personnes concernées et qu’une autre base légale n’apparaît pas plus appropriée.  

Dans quelles conditions le contrat peut-il constituer la base légale d’un traitement ?

Le recours au contrat pour fonder légalement un traitement est soumis à 3 conditions :

  1. il existe une relation contractuelle ou précontractuelle entre l’organisme et la personne concernée

Il est nécessaire que la personne concernée et l’organisme traitant ses données soient engagés dans une relation contractuelle pour fonder le traitement sur cette base légale.

Toutefois, elle peut aussi fonder des traitements lorsqu’il existe une simple éventualité qu’un contrat soit conclu : cette base légale concerne également les traitements nécessaires à l’exécution de mesures précontractuelles prises à la demande de la personne concernée. Ainsi, le traitement de données nécessaires à la prise de mesures préalables à la signature d’un contrat et qui en facilitent la conclusion, même en l’absence de conclusion effective d’un tel contrat, peut se fonder sur la base légale « contrat », à la condition que ces mesures répondent à la seule initiative de la personne concernée.

Par exemple, une personne peut fournir son code postal à un organisme afin de déterminer si celui-ci assure des services de livraison dans la zone dans laquelle elle habite : le traitement de cette donnée peut se fonder sur la base légale « contrat », même si aucun contrat n’est encore conclu entre le responsable du traitement et la personne concernée.

En revanche, les traitements ayant pour objectif de prospecter de nouveaux clients, sans démarche de leur part, ne pourront pas être fondés sur la base légale du contrat, car ces traitements sont mis en œuvre à la seule initiative des responsables de traitement, et non à la demande des personnes concernées. De tels traitements de prospection doivent se fonder sur l’intérêt légitime du responsable du traitement ou le consentement des personnes.

De même, si certains organismes ont des obligations légales de vérification d’identité des personnes (comme par exemple dans le secteur bancaire) avant de conclure un contrat avec elles, le traitement des données nécessaires à cette vérification ne peut pas être fondé sur le contrat, car ces opérations ne sont pas faites à la demande des personnes concernées. Un tel traitement pourra en revanche se fonder sur l’obligation légale incombant au responsable du traitement.

  1. le contrat doit être valide au regard du droit applicable

Bien entendu, le contrat liant la personne concernée au responsable du traitement, ou ayant vocation à être conclu entre ces deux parties, doit être licite au regard du droit français.

En particulier, il doit être conforme aux exigences du droit des contrats et, le cas échéant, respecter les contraintes spécifiques encadrant certains contrats, comme par exemple les contrats conclus avec les consommateurs ou les contrats de fourniture de contenus ou de services numériques.

  1. le contrat ne peut être retenu que si le traitement satisfait à la condition de nécessité (comme pour toute base légale)

Le traitement en cause doit être objectivement nécessaire à l’exécution du contrat. Cela signifie qu’il doit uniquement permettre à l’organisme d’exécuter le contrat spécifique conclu avec la personne, c’est-à-dire de fournir le produit ou le service souhaité par celle-ci, et ne doit pas viser un autre objectif, permettant par exemple la poursuite d’intérêts distincts ou exclusifs du responsable de traitement. L’organisme doit en outre s’assurer qu’il n’existe pas de moyen moins intrusif d’exécuter ce contrat que de mettre en œuvre le traitement envisagé. 

Par exemple, une personne procède à des achats en ligne et souhaite payer par carte bancaire et se faire livrer les produits à son domicile. Il est dès lors nécessaire pour le site marchand en ligne de traiter les données de paiement et l’adresse de livraison de son client : le traitement de ces données vise uniquement l’exécution du contrat conclu avec la personne concernée et les données traitées sont limitées à celles qui sont nécessaires à cette exécution. Le traitement par l’organisme de ces informations peut donc se fonder sur la base légale « contrat ». 

En pratique, la condition de nécessité s’apprécie concrètement au regard de l’objectif du contrat et des attentes mutuelles des parties quant à cet objectif. Elle n’est en revanche pas déterminée par la formalisation de ce contrat : le respect de cette condition ne doit pas être évalué au vu de ce qui est permis ou écrit dans le contrat proposé par le responsable du traitement.

Par exemple, un traitement de ciblage publicitaire sur un service en ligne ne peut pas, à titre général, être considéré comme objectivement nécessaire à l’exécution du contrat conclu avec les personnes concernées, même si le traitement est mentionné dans les conditions générales d’utilisation du site internet. En effet, l’utilisation du service n’est pas conditionnée par la mise en œuvre du traitement de ciblage publicitaire et le fait que ce traitement soit nécessaire au regard du modèle d’affaires de l’organisme ou à la viabilité économique du site internet ne suffit pas à le rendre nécessaire à l’exécution du contrat spécifique conclu avec les personnes concernées.

Un organisme qui souhaite créer des profils sur les préférences des utilisateurs, en se fondant sur leur navigation sur un site internet, doit donc rechercher une autre base légale, comme par exemple le consentement des personnes.


Pour en savoir plus

Comment déterminer si un traitement est bien « nécessaire à l’exécution du contrat » ?


Les termes du contrat suffisent-ils à valider le recours à cette base légale ?


Quelles sont les conséquences de la fin du contrat ?


Quelles sont les conséquences du choix de cette base légale ?