La compatibilité de la licence et cession de bases de données à caractère personnel avec le RGPD

Serveur

A l’heure où les programmes de mise en conformité RGPD sont réalisés dans les organismes publics et privés, plusieurs pratiques perçues comme étant sans danger évoluent, en vue de respecter les exigences de la loi Informatique et Libertés. Avant l’application des sanctions du règlement européen, il convient de s’interroger sur la pratique consistant à acquérir et souscrire à des fins d’accès et d’exploitation de bases de données. En effet, il faut déterminer la nature de l’opération sur les bases de données personnelles et son utilisation faite par des tiers.

La création d’une base de données RGPD et la conformité réglementaire

L’article 6 de la CESDH prévoit que les données personnelles relèvent du droit des personnes physiques au respect de leur vie privée. De ce fait, elles ne reposent sur aucun droit réel et ne peuvent ni être appropriées, ni aliénées.

Le producteur de bases de données personnelles détient le droit de propriété intellectuelle

De par le droit sui generis, les documents au sens de l’article 2 de la Loi Informatique et Libertés peuvent être appropriés par les producteurs de bases de données personnelles. Il s’agit d’un droit qui protège la base de données confiée au producteur, sous réserve que sa constitution, son contrôle et sa présentation fassent l’objet d’un investissement, quelle que soit sa nature.

La propriété intellectuelle sera plus axée sur le document organisé en base de données que sur les données personnelles. Ainsi, la licence ou la cession concernera les droits réels qui portent sur ce document conçu en base de données. Pour pouvoir s’en servir, le document en question doit respecter les exigences de la réglementation sur les données personnelles, comme le droit à l’oubli. En effet, si le traitement de données à caractère personnel est illégal, la base de données constituée sera qualifiée de hors commerce juridique.

L’importance pour le producteur de respecter les exigences réglementaires

Certes, cette sanction n’est pas aussi connue que l’amende de 4% du chiffres d’affaires annuel d’une entreprise. Toutefois, elle existe depuis longtemps par une jurisprudence constante impactant sur l’exploitation illégale de la base de données à caractère personnel.

On peut mettre en évidence un cas de fichier de base de données non déclaré à la CNIL ayant entraîné une cession de commerçants en 2013. En effet, la formalité de déclaration n’ayant pas été accomplie, la base de données personnelles fût alors qualifiée d’illégale. De même, le fait de ne pas réaliser une analyse d’impact via un logiciel PIA pour des données sensibles, est passible de sanctions.

Certes, rappelons que les déclarations auprès de la CNIL ne sont plus utiles depuis l’application du RGPD. Toutefois, l’objectif du législateur national fût de responsabiliser les responsables de traitement via le principe d’Accountability. Il désigne la capacité des responsables de traitement à démontrer que toutes les opérations de traitement de données respectent les exigences du règlement européen.

Fourniture des bases de données à caractère personnel et conformité réglementaire

Comme énoncé plus haut, les fichiers de base de données qui ne sont pas conformes aux exigences en matière de protection de données personnelles, entraîneront la privation des droits réels du producteur de la base de données.

Les effets de l’illégalité des bases de données personnelles

Si une chose est qualifiée de hors commerce juridique, les contrats de licence entre les producteurs et les tiers sont les premiers affectés. En effet, ils seront qualifiés de non-avenus et nuls. Si la base n’est pas disponible, les sanctions prévues par le RGPD peuvent être appliquées par une autorité de contrôle, à l’encontre du producteur, celui-ci étant alors le responsable de traitement. Les tiers à qui il a confié cette base se verront aussi sanctionnés.

La définition du caractère légal d’une base de données personnelles licenciée ou cédée

Le producteur de la base de données peut se voir demandé de réaliser des opérations de due diligence pour s’assurer des points suivants :

  • La garantie des droits des personnes concernées, notamment le droit d’opposition au traitement de données personnelles.
  • La définition du cadre juridique de traitement, incluant par exemple les bases légales et les finalités, ainsi que la pertinence des données collectées.
  • Le respect des délais de conservation des données
  • L’information de la personne concernée par le recueil des données, en vertu des articles 13 et 14 du RGPD.

Il existe aussi d’autres éléments ne devant pas être considérés :

  • La non existence d’une certification reconnue, qui atteste de la conformité des traitements de données
  • Une communication ou une coopération constante entre l’autorité de contrôle et le producteur de la base de données
  • La conformité des traitements réalisés auparavant
  • Les règles et filtres de gestion des bases RGPD ne garantissent pas la conformité de ces dernières, bien qu’elles puissent aider au suivi.