Le fantasme du consentement
Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 22 mai 2020 • LinkedIn
OrganismeX est responsable du traitement des données personnelles qu’elle collecte auprès du client ou du stagiaire pour la réalisation des formations. Conformément et dans les conditions précisées à la réglementation applicable en matière de données à caractère personnel, le client et/ou le stagiaire disposent d’un droit de retirer leur consentement à tout moment, de définir les directives relatives à la gestion de leurs données personnelles après leur décès et d’un droit d’accès, de modification, d’effacement, d’opposition, de limitation du traitement et à la portabilité des données qui les concernent. Le client et/ou le stagiaire disposent également du droit de s’opposer, pour des motifs légitimes, à ce que les données à caractère personnel les concernant fassent l’objet d’un traitement. Une telle opposition rendra toutefois impossible le suivi d’une formation par le stagiaire.
De quel traitement cette mention parle t’elle ?
Visiblement du suivi des inscriptions.
Mais il nous faut décomposer ce traitement en 2 catégories de données : celles concernant l’organisme qui inscrit le stagiaire (donc les données à caractère personnel concernant la personne en charge de l’inscription, le/la responsable formation par exemple), et celles concernant le stagiaire.
Et dans les 2 cas la base légale n’est en aucun cas le consentement !
Ce qui amène 2 remarques :
Il n’y a pas lieu d’indiquer qu’il peut être retiré ;
Si c’était le consentement, alors il ne faudrait pas mentionner le droit d’opposition (art. 21) qui ne s’applique que pour 2 bases légales (intérêt légitime et exécution d'une mission d'intérêt public).
Quelle(e) est/sont la/les base(s) légale(s) ?
Un traitement peut avoir plus d’une base légale, en général par sous-finalité (art. 6 : « Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : »).
Ici nous pourrions imaginer que :
La gestion des données concernant la personne en charge de l’inscription relève du 6.1.b, le bulletin d’inscription mentionnant les CGV étant un contrat. Et dans ce cas pas de droit d’opposition !
Celle des données concernant le stagiaire relève de l’intérêt légitime du responsable de traitement. Et là le droit d’opposition s’applique. Mais ce dernier doit être, de la part du stagiaire « pour des raisons tenant à sa situation particulière ». Et le responsable de traitement (organisme de formation) pourra refuser cette opposition s’il démontre « qu'il existe des motifs légitimes et impérieux pour le traitement », ce qui ici ne devrait pas poser trop de problème !
Une autre manière de voir les choses serait de dire que l’organisme de formation met en œuvre ce traitement sur la base d’une obligation légale (code du travail, décret RNQ, …).
Mais cela sera à justifier (cf. cette page du site de la CNIL). En effet, si le code du travail encadre strictement la formation professionnelle, il ne « décrit » pas le traitement.
Dernier point : la mention parle du droit à la portabilité, droit qui ne s’applique que si le traitement est basé sur le consentement ou le contrat, pas sur l’intérêt légitime du RT.
Conclusion
Le choix d’une base légale est souvent complexe. On voit ici que l’on a, selon l’approche retenue, plusieurs possibilités : intérêt légitime du RT, contrat, obligation légale … mais en aucun cas le consentement.
Ajoutons pour terminer que la mention DOIT préciser la/les base(s) légale(s), cf. article 13.1(c) du RGPD
