Traitement ultérieur
I. Notion de traitement ultérieur des données
« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».
- Article 4, 2° du Règlement général sur la protection des données.
A. Définition du traitement ultérieur
Un traitement ultérieur désigne toute opération de traitement réalisée après la collecte initiale des données, tant que cette opération est distincte du traitement initial.
Pour qu’un traitement ultérieur soit licite, le traitement initial doit l’être également. – Considérant 50 et article 5, 1° du Règlement général sur la protection des données
Un traitement est qualifié d'ultérieur si ses finalités sont différentes de celles du traitement initial. Cependant, le traitement initial ne se limite pas à la collecte ; il inclut d’autres opérations qui en découlent directement.
Si les finalités restent inchangées, le test de compatibilité ne s’applique pas. Le régime du traitement ultérieur concerne donc uniquement les traitements qui poursuivent d’autres finalités que celles prévues initialement.
Recherche en santé et données personnelles
En matière de recherche en santé, une règlementation particulière a été adoptée, sur le plan national comme sur le plan européen pour encadrer le traitement secondaire (ultérieur) des données personnelles de santé. L'organisme national chargé de gérer l'accès aux données de santé (personnelles ou non) à des fins de recherche est la Plateforme des données de santé (Voir Données de santé).
Les traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé sont régis par des dispositions particulières de la Loi informatique et libertés. - Article L. 225-1 du Code de la recherche
Les manquements aux obligations relatives à la mise en œuvre de traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé sont sanctionnés par le Code pénal. - Article 226-19-1 du Code pénal
B. Conditions de licéité du traitement ultérieur
- Le traitement initial doit être licite. – Considérant 50 du Règlement général sur la protection des données
- Les finalités du traitement ultérieur ne doivent pas être incompatibles avec celles du traitement initial. – Article 5, 1°, b) du Règlement général sur la protection des données
1. Contrôle de la compatibilité des finalités
Le responsable du traitement doit vérifier que les finalités du traitement ultérieur ne sont pas incompatibles avec celles du traitement initial. Pour cela, il doit réaliser un test d’absence d’incompatibilité.
Si les finalités sont compatibles, le traitement ultérieur est licite. Dans le cas contraire, il devient illégal.
Par exemple, lorsqu’un responsable de traitement transmet des données à un autre responsable, cette transmission constitue un traitement distinct. Il convient alors d'évaluer si les finalités poursuivies par le destinataire sont compatibles avec celles du traitement initial.
2. Critères d’évaluation de la compatibilité
L’article 6, 4° du Règlement général sur la protection des données énumère plusieurs critères pour apprécier la compatibilité d’un traitement ultérieur :
- lien entre les finalités initiales et ultérieures,
- contexte de la collecte des données, notamment la relation entre la personne concernée et le responsable du traitement,
- nature des données traitées,
- conséquences du traitement ultérieur sur la personne concernée,
- garanties mises en place (par exemple, pseudonymisation, chiffrement des données).
Ces critères doivent être appréciés au cas par cas, et bien qu’ils ne soient pas limitatifs, ils semblent cumulatifs selon la formulation du RGPD.
En cas d’incompatibilité manifeste, le traitement ultérieur est interdit. À l’inverse, si la compatibilité est établie, la réutilisation des données est autorisée. – G29, Opinion 03/2013, On purpose limitation, 02 avril 2013, p. 22-23
Le responsable du traitement doit non seulement réaliser le test de compatibilité, mais aussi être en mesure de le justifier.
Lorsqu’un traitement ultérieur est nécessaire à une mission d’intérêt public ou à l’exercice de l’autorité publique, le droit de l’Union ou des États membres peut déterminer les cas où un traitement ultérieur est considéré comme compatible et licite. – Considérant 50 du Règlement général sur la protection des données
Traitement ultérieur et Intelligence artificielle (IA)
L’apprentissage automatique suppose un traitement massif de données personnelles. Ces données sont souvent réutilisées pour entraîner des algorithmes.
L'identification des finalités d’un tel traitement pose question. Par exemple, le Conseil d’État a jugé que la réutilisation de décisions de justice pour concevoir un algorithme d’indemnisation était compatible avec la finalité initiale de règlement des litiges. – Conseil d'État, 30 décembre 2021, n° 440376, considérant 14
Cependant, une distinction s’impose selon le type d’apprentissage :
- si l’algorithme n’évolue plus après son entraînement, la finalité du traitement des données est la conception de l’algorithme ;
- si l’algorithme continue d’apprendre en cours d’utilisation, la finalité devient l’exploitation de l’algorithme et sa conception.
L’application du Règlement général sur la protection des données à l’IA implique donc une analyse fine des finalités du traitement et des modalités d’apprentissage.
II. Régime juridique du traitement ultérieur des données
A. Conformité du traitement ultérieur
Le traitement ultérieur des données se distingue du traitement initial par ses contours et ses finalités. Que ce traitement soit effectué par le même responsable du traitement ou par un tiers, sa conformité au Règlement général sur la protection des données doit être assurée.
Tout comme pour le traitement initial, les finalités du traitement ultérieur doivent être :
- déterminées, c'est-à-dire clairement identifiées et précises,
- explicites, c'est-à-dire formulées de manière compréhensible,
- légitimes, c'est-à-dire conformes aux prescriptions légales.
Ces finalités nouvelles sont définies lors du test d'absence d'incompatibilité avec les finalités initiales.
B. Base juridique du traitement ultérieur
Si les finalités des traitements initial et ultérieur ne sont pas incompatibles, la même base juridique que celle du traitement initial peut être utilisée. – Considérant 50 du Règlement général sur la protection des données
En revanche, si les finalités sont incompatibles, le traitement ultérieur ne pourra être effectué que si :
- la personne concernée donne son consentement, ou
- une disposition du droit de l'Union ou d'un État membre autorise ce traitement.
Dans ce cas, seules les données strictement nécessaires aux nouvelles finalités doivent être traitées.
C. Information des personnes concernées
Le responsable du traitement doit informer les personnes concernées avant la mise en œuvre du traitement ultérieur, notamment sur :
- les finalités du traitement ultérieur,
- la durée de conservation des données,
- les droits des personnes concernées (rectification, limitation du traitement, retrait du consentement, réclamation),
- le caractère réglementaire ou contractuel de la fourniture des données,
- l’existence d’une prise de décision automatisée.
– Article 13 et Considérant 61 du Règlement général sur la protection des données
Si le traitement ultérieur est effectué par un autre responsable du traitement, celui-ci doit fournir l'information aux personnes concernées. – Article 14 du Règlement général sur la protection des données
D. Droits des personnes concernées
Les personnes concernées peuvent exercer leurs droits également sur le traitement ultérieur. Ces droits comprennent :
- le droit d’accès : la personne concernée peut demander l'identité des destinataires de ses données, sauf si cela est impossible ou si la demande est manifestement infondée ou excessive. – CJUE, 12 janvier 2023, aff. C-154/21, point 49
- le droit à la notification : Le responsable du traitement doit informer chaque destinataire des données lorsqu'une personne concernée exerce ses droits, sauf si cette communication est impossible ou disproportionnée. – Article 19 du Règlement général sur la protection des données
En résumé
Le régime juridique du traitement ultérieur repose sur :
- la détermination précise de ses finalités,
- le respect des bases juridiques,
- une information transparente des personnes concernées,
- tout en garantissant l’exercice effectif de leurs droits.
III. Compatibilité du traitement initial et du traitement ultérieur
Le contrôle de compatibilité des finalités n’est pas requis lorsque :
- la nature des finalités justifie le traitement ultérieur (archivage d’intérêt public, recherche scientifique ou statistique).
- la base juridique repose sur le consentement de la personne concernée ou une disposition du droit de l’Union ou d’un État membre.
A. Compatibilité fondée sur la finalité de recherche scientifique ou historique, d'archivage ou statistiques
L'article 89 du Règlement général sur la protection des données autorise la réutilisation de données personnelles pour des fins archivistiques, scientifiques, historiques ou statistiques, même si elles avaient été collectées à l’origine pour un autre usage.
Cela signifie qu’il n’est pas nécessaire de vérifier la compatibilité entre la finalité initiale et la nouvelle finalité de recherche car le traitement ultérieur sera a priori considéré comme compatible avec les finalités initiales du traitement. Il s'agit ainsi d'une présomption de compatibilité. – Article 5, 1°, b) du Règlement général sur la protection des données et Article 6, 2° de la Loi informatique et libertés
L’objectif est de faciliter la recherche en évitant d’avoir à collecter de nouvelles données à chaque étude. Cette approche est essentielle, car constituer des bases de données dédiées uniquement à la recherche est souvent complexe et coûteux et l'appariement de données doit pouvoir être facilité.
La loi prévoit donc des dérogations qui permettent aux chercheurs de s'exonérer d'un certain nombre d'obligations.
Ces dérogations sont spécifiques et ne permettent pas de s'extraire du cadre général. Ainsi, des mesures de protection doivent être prises pour garantir que les droits des individus sont respectés :
- pseudonymisation ou anonymisation des données lorsque c’est possible. – Article 89, 1° du Règlement général sur la protection des données
- respect du principe de minimisation : seules les données strictement nécessaires doivent être utilisées. – Article 89, 1° du Règlement général sur la protection des données
- traitement des données sensibles autorisé uniquement si une loi européenne ou nationale le prévoit et avec des mesures de protection spécifiques. – Article 9, 2°, j) du Règlement général sur la protection des données
1. Dérogation aux droits de la personne
Pour éviter que l’exercice de certains droits ne compromette les recherches en cours, le RGPD permet aux États membres d’adapter certaines obligations. L’article 89, 2° du Règlement général sur la protection des données prévoit des dérogations aux droits des personnes concernées, notamment :
- le droit d'accès de la personne concernée peut être écarté. - Article 15 du Règlement général sur la protection des données ;
- le droit à l’effacement peut être écarté si la suppression des données empêche l’étude d’aboutir. – Article 17, 3°, d) du Règlement général sur la protection des données ;
- le droit d’opposition ne s’applique pas si le traitement est nécessaire à une mission d’intérêt public. – Article 21, 6° du Règlement général sur la protection des données
2. Dérogation à l'obligation d'informer
S'agissant de l'obligation d'information, les personnes concernées doivent, en principe, doivent être informées de l’utilisation de leurs données même si celles-ci n’ont pas été collectées directement auprès d’elles.
Cependant, il existe des exceptions, notamment si l’information est impossible ou demande des efforts disproportionnés. – Article 14, 5°, b) du Règlement général sur la protection des données
L'article 79 de la Loi informatique et libertés prévoit que, lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions relatives à l'information de la personne concernée prévues par l'article 14 du Règlement général sur la protection des données ne s'appliquent pas si les traitements répondent à :
- des fins archivistiques dans l'intérêt public,
- des fins de recherche scientifique ou historique,
- des fins statistiques dans les conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques
L'article 14 du RGPD est relatif aux informations à fournir lorsque les données personnelles n'ont pas été collectées auprès de la personne concernée (identité du responsable de traitement, finalités du traitement, catégories de données concernés, existence d'un transfert dans un pays tiers à l'Union, durée du traitement, intérêts légitimes le cas échéant, information sur le droit à la rectification et à l'effacement, etc.).
B. Compatibilité fondée sur la recherche scientifique dans le domaine de la santé
Afin d’aider les responsables de traitement à analyser les modifications d’un traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé, dont elle rappelle qu’elles sont naturellement vouées à évoluer au gré des contraintes scientifiques ou des changements d’organisation des différents acteurs impliqués, la CNIL précise les démarches à suivre pour procéder à une protection de données adéquate. - CNIL, Modifications des traitement de données soumis à formalités : quelles démarches?, 13 juin 2024
Le CEPD avait également adopté des lignes directrices rappelant l’ensemble des règles applicables au traitement de données de santé à des fins de recherche scientifique dans le contexte de l’épidémie de la Covid-19. - CEPD, Lignes directrices 03/2020 rappelant l’ensemble des règles applicables au traitement de données de santé à des fins de recherche scientifique dans le contexte de l’épidémie du Covid-19, 21 avril 2020
La CNIL rappelle tout d’abord que seules les modifications substantielles du traitement sont concernées, comme l’ajout de nouvelles finalités ou l’ajout de la collecte de données sensibles et que les comités (CPP ou CEREES) ainsi que la CNIL ne sont pas compétents pour évaluer les modifications substantielles qui doivent simplement faire l’objet d’une documentation en interne (mise à jour du registre des traitements et de l’analyse d’impact relative à la protection des données ou AIPD), sauf si la modification envisagée entraîne la non-conformité du traitement au référentiel applicable au traitement.
À titre d’exemple, font partie des modifications substantielles le changement de responsable de traitement, l’ajout d’une nouvelle question ou d’une étude ancillaire, l’interconnexion, le rapprochement ou l’appariement de plusieurs traitements, l’ajout de catégories de données particulières non prévues par l’autorisation initiale, l’accès ou l’extraction d’une nouvelle base de données ou d’une nouvelle source, ajout de mineurs ou majeurs protégés, personnes hors d’état d’exprimer leur consentement, personnes privées de libertés, etc., l’allongement conséquent de la durée de l’étude et/ou de l’archivage, modalités d’information et recueil du consentement, nouvelle catégorie de destinataire, changement de fonction de la personne ou du service auprès duquel s’exerce le droit d’accès, modification des mesures techniques et organisationnelles susceptible d’affaiblir la sécurité des données, un transfert de données hors Union européenne.
C. Compatibilité fondée sur la base juridique du traitement
1. La base juridique du consentement
Le consentement permet d’éviter le contrôle de compatibilité entre la finalité initiale et ultérieure.
Le consentement doit porter sur l'utilisation ultérieure et peut être recueilli antérieurement ou postérieurement à la collecte initiale.
Le consentement doit être explicite et le responsable du traitement doit être en mesure de le démontrer.
En cas de transmission des données à un tiers, un consentement spécifique peut être requis.
2. La base juridique de l'obligation légale
L'obligation légale comme base juridique du traitement initial peut autoriser un traitement ultérieur sans lien direct avec la finalité initiale. – Article 6, 4° du Règlement général sur la protection des données
Cependant, ce traitement ultérieur doit poursuivre un objectif légitime prévu à l'article 23 du Règlement général sur la protection des données :
- la sécurité nationale
- la défense nationale
- la sécurité publique
- la prévention et la détection des infractions pénales
- d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre
- la protection de l'indépendance de la justice
- la prévention et la détection des manquements à la déontologie des professions réglementées
- les missions de contrôle liées à l'exercice de l'autorité publique pour les objectifs précités
- la protection de la personne concernée ou des droits et libertés d’autrui
- l'exécution des demandes de droit civil