Le schéma est classique : une personne physique ou morale se trouve confrontée à une fraude informatique et récupère par ce biais des (maigres) informations sur son fraudeur (comme une adresses IP, un numéro de téléphone, des coordonnées personnelles, etc).
L’utilisation de ces données est-elle licite au regard des dispositions du RGPD ?
Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des « bases légales » prévues par le RGPD.
La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractères personnel.
Ainsi, l’article 6 du RGPD reprend ces différentes bases légales (initialement prévues dans l’ancienne directive 95/46/CE du 24 octobre 1995). A ce titre il est permis de traiter des données personnelles lorsque le traitement repose :
- Sur le consentement de la personne
- Sur un contrat
- Sur une obligation légale
- Sur une mission d’intérêt public
- Sur la poursuite d’intérêts légitimes
- Sur la sauvegarde d’intérêts vitaux
Aujourd’hui, avec la multiplicité des modes de transactions en ligne, les fraudes et les abus sont de plus en plus nombreux sur la toile. A l’ère où la dématérialisation des transactions devient la norme, la question se pose de savoir dans quelle mesure le RGPD encadre l’utilisation des données personnelles dans la lutte contre les fraudes pénales.
Comme il l’a notamment été démontré par le groupe de travail G29 (ancien organe consultatif de l’Union européenne sur la protection des données et de la vie privée), certaines de ces bases légales peuvent justifier l’utilisation des données personnelles dans la prévention et la lutte contre la fraude.
1) L’intérêt légitime
L’intérêt légitime est l’une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.[1]
L’intérêt légitime peut notamment justifier l’utilisation de données personnelles pour lutter et prévenir les fraudes pénales sur internet.
Ainsi le considérant 47 du RGPD donne un faisceau d’indices et une grille de lecture pour interpréter cette base, et prévoit notamment le traitement de données à des fins de prévention de la fraude.
Le groupe de travail G29 a formé un avis en 2014 sur la base de l’ancienne directive 95/46/CE du 24 octobre 1995 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données, à l’occasion de laquelle ces derniers ont dressé une liste non exhaustive de certains des contextes pour lesquels la question de l’intérêt légitime est la plus susceptible de se poser.
Le groupe reprend ainsi la « prévention de la fraude, de l’utilisation abusives de services, ou du blanchiment d’argent », lorsque cela apparait acceptable au regard du droit.
Ainsi la notion d’intérêt légitime est une notion assez large.
Il peut arriver que l’intérêt commercial d’une société privée coïncide dans une certaine mesure avec un intérêt public. Cela peut être le cas, par exemple, pour lutter contre la fraude financière ou l’utilisation abusive de services. Un prestataire de services peut avoir un intérêt commercial légitime à veiller à ce que ses clients n’abusent pas du service (ou ne puissent pas obtenir des services sans payer), mais, en même temps, les clients de l’entreprise, les contribuables et l’ensemble des citoyens ont aussi un intérêt légitime à ce que les activités frauduleuses soient découragées et détectées quand elles sont commises.
Concrètement, l’organisme doit identifier les conséquences que son traitement peut avoir sur les personnes concernées : sur leur vie privée mais aussi, plus largement, sur l’ensemble des droits et intérêts couverts par la protection des données personnelles.
2) La mission d’intérêt public
Cette seconde base légale peut également être invoquée pour défendre l’utilisation de données personnelles dans un but de lutte ou de prévention de la fraude.
Ainsi le groupe de travail G29 dans ce même rapport sur la notion d’intérêt légitime de l’ancienne directive 95/46/CE[2], relève que l’ancien article 7, point e) de la directive constitue un fondement juridique dans les situations où le traitement «est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées».
Il couvre aussi des situations où le responsable du traitement n’est pas investi d’une autorité publique, mais est invité à communiquer des données à un tiers investi d’une telle autorité.
Le groupe donne ainsi l’exemple d’un agent de service public, ce dernier serait compétent lorsqu’il enquête sur un crime pour demander au responsable du traitement sa coopération dans le cadre de l’enquête en cours, plutôt que de lui ordonner de se soumettre à une demande de coopération spécifique (réquisition).
L’ancien article 7, point e), peut en outre couvrir des situations où le responsable du traitement communique des données, de manière proactive, à un tiers investi de cette autorité publique. Cela peut être le cas, par exemple, quand un responsable du traitement constate qu’une infraction pénale a été commise et transmet l’information aux services répressifs compétents de sa propre initiative.
Il ne s’agirait pas ici forcément d’une obligation légale, mais d’un signalement volontaire aux autorités compétentes.
Il faut là encore que le traitement soit «nécessaire» à l’exécution d’une mission d’intérêt public, ou encore que le responsable du traitement ou le tiers auquel il communique les données soit investi d’une autorité publique et que le traitement des données soit nécessaire à l’exercice de cette autorité.
Enfin, le motif d’intérêt public pourrait être invoqué dans le cadre d’une action répressive, comme par exemple la lutte contre la fraude ou le partage de contenu illégal sur l’internet, si les exigences de limitation de la finalité, de licéité et de loyauté prévues à l’article 6 de la même directive, sont respectées.
Pour toute information, contactez Fabien Honorat (honorat@pechenard.com).
[1] Article, site de la CNIL : https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
[2] Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE