Respect d'une obligation légale
Le traitement des données personnelles peut être fondé sur une obligation légale lorsque celle-ci est expressément prévue par le droit de l’Union européenne ou par le droit de l’État membre auquel le responsable du traitement est soumis. – Article 52 de la Charte des droits fondamentaux de l'Union européenne.
L’obligation légale doit être suffisamment claire et précise pour permettre aux personnes concernées de prévoir la nécessité du traitement – Considérant 41 du Règlement général sur la protection des données.
En revanche, une obligation légale issue d’un État tiers ne peut pas, à elle seule, justifier un traitement de données. Dans ce cas, le traitement devra être fondé sur un autre fondement juridique, tel que l’intérêt légitime du responsable du traitement.
L'obligation légale doit réunir deux conditions :
- définition des finalités : la base juridique de l’obligation légale doit clairement préciser les finalités du traitement – Article 6, 3° du Règlement général sur la protection des données.
- caractère contraignant : l’obligation légale doit être impérative et ne peut se limiter à une recommandation, une obligation facultative ou un objectif général.
Secteur de la santé
Certains traitements de données reposent sur une obligation légale, notamment dans le secteur médical, où la réglementation impose :
- la tenue d’un dossier médical des patients,
- la télétransmission des documents à destination de l’assurance maladie,
- l’organisation de la prise en charge sanitaire.
Ces traitements ont été reconnus comme fondés sur une obligation légale par la CNIL – Délibération n° 2020-081 du 18 juin 2020 relative aux traitements de données dans les cabinets médicaux et paramédicaux.
Secteur de la recherche scientifique
Dans le secteur de la recherche scientifique, cette base légale ne semble pas adaptée aux conditions du traitement, car l'activité de recherche n'est pas une obligation légale impérative pour les organismes de recherche.