La mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ?
La mission d’intérêt public est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.
Les autorités publiques peuvent recourir à cette base légale pour fonder les traitements qu’elles mettent en œuvre, en particulier ceux concernant leurs usagers. La mission d’intérêt public doit être définie dans des dispositions légales pour valablement fonder ces traitements.
Qui peut être concerné par la base légale « mission d’intérêt public » ?
La mission d’intérêt public est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Plus précisément, elle peut fonder les traitements nécessaires à l’exécution d’une mission d’intérêt public ou d’une mission relevant de l’exercice de l’autorité publique incombant à un organisme.
Cette base légale concerne donc en premier lieu les traitements mis en œuvre par les autorités publiques. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogative de puissance publique. La mission d’intérêt public peut en particulier fonder les traitements tournés vers les usagers de l’autorité publique concernée.
Dans quelles conditions la mission d’intérêt public peut-elle constituer la base légale d’un traitement ?
Le recours à la mission d’intérêt public pour fonder légalement un traitement est soumis à deux conditions :
-
comme pour toute base légale, la mission d’intérêt public ne peut être retenue que si le traitement satisfait à la condition de « nécessité ».
Le traitement concerné doit ainsi permettre d’exercer, de manière pertinente et appropriée, la mission dont est investie l’autorité publique et ne doit pas viser un autre objectif, sans rapport particulier ou trop éloigné des spécificités de la mission d’intérêt public en cause. C’est pourquoi la mission d’intérêt public concerne au premier chef les traitements concernant les usagers ou les publics des organismes : c’est à leur égard que s’exerce la mission de service public et c’est dans le cadre des traitements qui les concernent que s’exerce spécifiquement l’autorité publique.
À l’inverse, certains traitements mis en œuvre par une autorité publique concernant, non pas ses usagers, mais ses propres personnels ou qui concernent des activités purement internes, s’ils sont bien entendu mis en œuvre à l’occasion de l’exercice de ses missions ou sont utiles à cet exercice, ne revêtent aucune spécificité liée à l’exercice de l’autorité publique et ne semblent de ce fait pas pouvoir être qualifiés de « nécessaires » à ces missions.
Exemple : la plupart des traitements de gestion des ressources humaines au sein des autorités publiques ou de gestion des activités « support » ne devraient pas, en l’absence de spécificité liée à la mission d’intérêt public effectivement poursuivie, se fonder sur la mission d’intérêt public.
Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.
Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.
Pour en savoir plus : La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
-
l’intérêt public doit être défini par le droit européen ou le droit national.
La mission d’intérêt public ou relevant de l’exercice de l’autorité publique ne peut pas être présumée par l’organisme qui met en œuvre le traitement de données : pour valablement fonder ce traitement, cette mission doit avoir une base juridique dans le droit auquel l’organisme est soumis. Le RGPD n’impose pas de niveau de norme particulier : il peut donc être défini dans des règlements européens, des lois, des décrets, etc.
Ces dispositions légales peuvent en outre définir les finalités du traitement en cause, ainsi que d’autres conditions essentielles de mise en œuvre (les données concernées, leurs durées de conservation, les personnes à qui elles peuvent être communiquées, etc.). S’il ne s’agit pas d’une obligation, plus ces dispositions sont précises, plus il est facile pour les organismes concernés de recourir à cette base légale.
Si ces conditions ne sont pas remplies, le traitement en cause ne peut pas être fondé sur la mission d’intérêt public et une autre base légale doit être recherchée par l’organisme traitant les données.
Quelles sont les conséquences du choix de cette base légale ?
La base légale « mission d’intérêt public » a plusieurs conséquences importantes pour l’organisme qui traite les données et pour les personnes concernées par le traitement. Comme pour toutes les bases légales, le choix de recourir à la mission d’intérêt public doit donc faire l’objet d’une attention particulière de la part du responsable du traitement.
- Pour les organismes traitant les données : les traitements mis en œuvre sur le fondement de cette base légale ne sont pas soumis au mécanisme de coopération du guichet unique et la CNIL reste donc seule compétente à l’égard de ces traitements.
- Pour les personnes : tous les droits des personnes concernées peuvent s’exercer à l’égard des traitements fondés sur la mission d’intérêt public, y compris le droit d’opposition, à l’exception du droit à la portabilité.