Skip links

Les bases légales du RGPD : décryptage de la mission d’intérêt public

Article rédigé par Alexandre Le Borgne, juriste en droit du numérique public chez Numéricité

Le règlement général sur la protection des données (RGPD) a érigé à son article 6 que toute collecte et traitement de données à caractère personnel repose sur l’une des six bases légales qu’il énumère. Parmi ces bases légales, on trouve le traitement nécessaire à l’exécution d’une mission d’intérêt public introduite dans le droit français en 2019. Le présent billet entend proposer un mode d’emploi avec les questions essentielles à se poser et des points de vigilance pour vous assurer que vous pouvez vous appuyer sur ce fondement. Dans quels contextes ce fondement peut-il être mobilisé ? Un texte spécifique est-il nécessaire pour justifier du traitement de données à caractère personnel ? Qui est titulaire d’une mission d’intérêt public ? Qu’est-ce qu’une mission d’intérêt public ?

Ainsi, l’article 6 du RGPD dispose :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[…] e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[…] 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par : a) le droit de l’Union ou b) le droit de l’État membre auquel le responsable du traitement est soumis. Les finalités du traitement […] sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement
 ».

Ce fondement de la mission d’intérêt public est entouré d’un certain mystère et susceptible de générer des malentendus qui ne sont pas tous dissipés en l’état du droit. Et ce, d’autant plus que le consentement est souvent perçu comme la base légale par défaut alors même que le considérant 43 du RGPD en prohibe largement l’usage par les autorités publiques [1].

La présente analyse se limite à décrypter la mission d’intérêt public sans envisager une comparaison avec les autres bases légales proposées par le RGPD, en particulier l’obligation légale et l’intérêt légitime qui pourront faire l’objet d’articles séparés.

1 – Les finalités doivent-elles être prévues par un texte juridique ?

Finalité et base légale sont distinctes et ne doivent pas être confondues.

Pour reprendre la définition de la CNIL, “la finalité du traitement est l’objectif principal de l’utilisation de données personnelles [2] sachant que l’article 5 du RGPD prévoit que la ou les finalités doivent être déterminées, explicites et légitimes.

De son côté, la base légale constitue le moyen de légitimer la collecte et le traitement de données à caractère personnel par un responsable de traitement [3].

Plus que toute autre base légale, le lien entre la mission d’intérêt public et les finalités est très étroit. Lorsqu’un responsable de traitement entend fonder son traitement sur la mission d’intérêt public, il doit s’assurer que les finalités permettent d’exécuter effectivement cette mission. Plus encore, il doit veiller à ne pas mettre en œuvre une action détachée des objectifs que poursuit la mission d’intérêt public. En d’autres termes, une finalité qui ne poursuit pas la stricte mise en œuvre opérationnelle de la mission d’intérêt public ne peut être fondée sur cette base légale et réciproquement.

Le responsable de traitement a pour seule obligation de veiller à ce que les finalités permettent l’exécution de la mission d’intérêt public qui lui est confiée. A cet égard, il s’agit également d’une bonne pratique afin de respecter les principes de minimisation, de nécessité et de proportionnalité.

Dans une logique de responsabilisation, c’est au responsable de traitement d’apprécier la conformité des finalités par rapport à sa ou ses missions d’intérêt public. Les finalités pouvant être portées à la connaissance des personnes concernées via une mention d’information et une politique de confidentialité.

A ce titre, le RGPD n’impose pas qu’un texte législatif ou réglementaire spécifique définisse de façon limitative les finalités d’un traitement. En effet, le RGPD se contente d’exiger que les finalités soient en rapport avec la mission d’intérêt public, et non qu’elles soient prescrites par un acte juridique. Le Conseil d’Etat, dans son étude sur l’intelligence artificielle, regrette d’ailleurs cette propension des administrations à sur-réglementer leurs traitements et à vouloir définir de façon normative les finalités sans que cela ne soit une obligation légale [4]. Et ce d’autant plus que certaines administrations entretiennent la fausse vérité que la publication d’un texte au Journal Officiel vaut information des personnes concernées, alors que d’aucuns savent que le Journal Officiel n’est consulté que par une portion congrue des citoyens.

Sur ce point, le §3 de l’article 6 du RGPD entend dissiper les éventuels doutes. Il est indiqué précisément que la spécification des finalités dans un texte juridique est une simple faculté et non une obligation :

« Cette base juridique (la mission d’intérêt public) peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : [… ] la limitation des finalités […] ».

Il en résulte que les finalités n’ont, par principe, pas à être prévues dans un texte juridique qui organise le traitement de données à caractère personnel.

2 – Ma mission est-elle définie en droit ?

Aux termes du §3 de l’article 6 du RGPD il est énoncé que la mission d’intérêt public :

« est définie par : a) le droit de l’Union ou b) le droit de l’État membre auquel le responsable du traitement est soumis. Les finalités du traitement […] sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Il convient de ne pas se méprendre sur la teneur de cette disposition. Il est seulement exigé que la mission soit définie, et non pas que le traitement lui-même soit prévu et organisé par un texte juridique national ou européen.

Cette logique est d’ailleurs conforme tant avec la lecture de la CNIL [5], que le considérant 45 du RGPD qui rappelle que plusieurs traitements peuvent relever d’une même disposition légale :

« Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement […] lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ».

Plus encore, il convient de souligner que le Conseil d’Etat [6] a pris soin, dans un avis du 3 juin 2022, de rappeler que le RGPD a mis fin au mécanisme de l’autorisation préalable des traitements en dehors des hypothèses prévues par les articles 30 à 32 de loi n° 78-17 dite Informatiques et Libertés. La pratique de l’autorisation légale traitement par traitement est un vestige d’un passé révolu.

Il n’en demeure pas moins que si le RGPD ne demande pas à ce qu’un acte juridique autorise et organise le traitement, il requiert qu’un vecteur juridique délimite l’étendue de cette mission d’intérêt public.

Sur ce point, le RGPD est silencieux tant sur le niveau de la norme, sur sa nature que sur l’ordre juridique d’appartenance. Ainsi, cette habilitation peut provenir de toute décision administrative qu’il s’agisse d’une loi, d’un texte réglementaire ou même d’un acte d’organisation d’un chef de service [7] mais encore, d’un contrat comme un marché public ou une concession pour les personnes privées. Ne sont écartées que les règles de droit provenant d’un système juridique extérieur à l’Etat membre ou à l’Union.

De façon encore plus souple, le RGPD n’exige pas à proprement parler que cette définition procède d’un texte. Il en résulte qu’il ne peut être exclu que des solutions jurisprudentielles puissent permettre de fonder un traitement au titre d’une mission d’intérêt public. Même si l’hypothèse apparaît comme accessoire, elle ne doit pas être écartée par exemple en cas de reconnaissance par la jurisprudence d’une activité d’intérêt public et a fortiori de service public. Il serait somme toute assez surprenant d’écarter le fondement de la mission d’intérêt public au seul titre qu’elle ne figure pas dans un texte écrit. D’une certaine façon, ce qu’il importe c’est qu’il existe une forme de contrôle ou de mandat confié par une autorité publique.

Cette approche traduit la bascule sous la logique de l’accountability [8] qui concède aux responsables de traitement une marge d’appréciation.

3 – Ma structure peut-elle être chargée d’une mission d’intérêt public ?

L’article 6 ne précise pas si la mission d’intérêt public est restreinte aux personnes morales de droit public ou, au contraire, susceptible d’être mobilisée par une structure privée (ex : association, société commerciale etc.).

Il faut se reporter aux considérants du RGPD pour obtenir une clarification. En l’occurrence, le considérant 45 du RGPD entend laisser une véritable marge d’appréciation aux Etats membres :

« Il devrait, également, appartenir au droit de l’Union ou au droit d’un État membre de déterminer si le responsable du traitement exécutant une mission d’intérêt public ou relevant de l’exercice de l’autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l’intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu’une association professionnelle ».

En ce sens, le RGPD ne réserve pas le monopole de la mission d’intérêt public aux administrations publiques nationales ou locales. Il en résulte qu’une société commerciale ou association peut, dès lors qu’elle dispose d’une habilitation juridique, traiter des données sur le fondement de la mission d’intérêt public.

A noter que le juge européen laisse aux Etats membres le soin d’identifier les autorités qui sont investies d’une mission d’intérêt public [9]. Ainsi, c’est au juge national de vérifier souverainement que le droit a entendu confier au responsable de traitement une mission d’intérêt public.

4 – Ma mission est-elle bien d’intérêt public ?

- Mission d’intérêt public et mission de service public sont-elles synonymes ?

Cette dernière question est la plus épineuse, sur bien des aspects la réponse est incertaine et relève d’une forme de subjectivité.

Il n’existe pour l’heure aucune définition juridique au sein du RGPD, ni réels critères jurisprudentiels d’identification d’une mission d’intérêt public. Ce point constitue une véritable zone grise de cette base légale.

En retraçant l’historique, jusqu’à l’ordonnance n° 2018-1125 du 12 décembre 2018, la loi n° 78-17 Informatique et Libertés se refusait même à employer le terme “mission d’intérêt public” apparu avec la directive n° 96/45/CE. En effet, la loi n° 2004-801 du 6 août 2004 a préféré l’expression « exécution d’une mission de service public », s’appuyant sur une préconisation du juriste Guy Braibant. Ce dernier dans un rapport de 1998 remis au Premier ministre relatif à la transposition de la directive n° 94/46/CE ayant relevé que : « De même, la notion de “.mission de service public.” -qui figure dans l’actuel article 15 de la loi du 6 janvier 1978 pour délimiter le champ du régime d’autorisation des traitements – est plus claire en droit français que celle de “.mission d’intérêt public ou relevant de l’exercice de l’autorité publique.” employée par la directive » [10].

L’approche de la mission de service public était commode en droit national dès lors qu’elle permettait d’appliquer les critères classiques d’identification d’une mission de service public dégagés par la jurisprudence [11] : qualification législative, ou à défaut une activité d’intérêt général sous un contrôle direct ou indirect de l’administration et, le cas échéant, justifiant l’existence de prérogatives de puissance publique.

Si l’on observe la jurisprudence administrative, il ressort que l’intérêt public n’a pas les mêmes fonctions que la mission de service public. Le service public qualifie la nature d’une activité avec l’application d’un régime juridique propre. L’intérêt public est d’une toute autre nature. D’une part, il oriente l’action publique puisque l’administration doit agir en vue de satisfaire un intérêt public par opposition aux intérêts privés [12] ; d’autre part, c’est un régulateur des contentieux qui permet au juge administratif de départager un différend lorsque plusieurs intérêts publics et privés sont mis en balance [13].

- Intérêt public et service public, une frontière poreuse ?

La bascule sous l’empire de la mission d’intérêt public complexifie l’appréciation de la situation sans que le RGPD et la loi n° 78-17, dite Informatique et Libertés, n’apportent d’éléments d’interprétation.

Le juge administratif s’épanche peu pour qualifier l’existence d’une mission d’intérêt public. Par exemple, le Conseil d’Etat reconnaît la mission d’intérêt public de l’application “TousAntiCovid” dans un considérant laconique [14]. Il en est de même concernant le traitement du service intégré d’accueil et d’orientation (SIAO) [15] de la Direction générale de cohésion sociale. Le juge administratif écarte de façon tout aussi brève la mission d’intérêt public dans le cadre de la conservation par Cdiscount des numéros de cartes bancaires de certains clients des sites de commerce en ligne [16]. Le Conseil d’Etat est légèrement plus détaillé lorsqu’il s’agit d’un traitement de données sensibles, par exemple avec “DataJust” [17].

De ces quelques jurisprudences encore peu nombreuses, il s’avère que l’intensité du contrôle du Conseil d’Etat semble ainsi se limiter à un contrôle restreint. Le juge administratif s’assure qu’il existe effectivement un élément objectif en droit permettant de justifier la qualification d’intérêt public de la mission. Autrement dit, une volonté des pouvoirs publics de conférer à cette mission un relief particulier dans l’ordre social. Le juge ne procède pas à une recherche approfondie avec des critères précis d’identification de l’existence d’une mission d’intérêt public, ni ne semble rechercher a priori l’existence d’un service public.

De son côté, la Cour de Justice de l’Union Européenne, sans être plus méthodique, ne s’embarrasse pas des considérations tenant au service public pour retenir qu’un traitement peut être fondé sur la mission d’intérêt public [18]. Cette situation est susceptible de générer des oppositions entre les juridictions françaises et le juge européen.

En tout état de cause, sans prendre de véritable risque, il apparaît que les administrations et personnes privées chargées d’une mission de service public doivent systématiquement se prévaloir de cette base légale, à défaut de quoi on peut légitimement douter de la légalité du traitement concerné. Surtout que les autorités publiques ne peuvent pas justifier, tant par l’intérêt légitime [19] que le consentement [20], d’un traitement de données à caractère personnel dans le cadre de l’exécution de leurs missions. Ainsi, tout traitement réalisé dans le cadre d’une activité de service public relève par défaut de la mission d’intérêt public.

En revanche, il ne peut être écarté que la mission d’intérêt public n’adhère pas complément à la définition juridique du service public. Même si cette hypothèse semble marginale, il y a tout lieu de penser que le juge tant administratif que judiciaire pourrait se montrer plus didactique en présence d’une activité hors service public qui revendiquerait l’exercice d’une mission d’intérêt public. En particulier, dans des circonstances où le juge administratif reconnaît l’intérêt général d’une activité sans la hisser au rang de service public [21].

Il ne faut toutefois pas surestimer le risque pour les responsables de traitement, ni surenchérir sur un hypothétique bouleversement du droit par le RGDP. La très grande majorité des situations ne pose aucune difficulté majeure, la boussole du service public et de l’habilitation juridique permettent indéniablement d’orienter le responsable de traitement dans le choix de mobiliser ou non la mission d’intérêt public.

 

[4] Conseil d’Etat, “Intelligence artificielle et action publique : construire la confiance, servir la performance”, Etude, 2022, p. 179.

[5] Interprétation portée par la CNIL : « Ces dispositions légales peuvent en outre définir les finalités du traitement en cause, ainsi que d’autres conditions essentielles de mise en œuvre (les données concernées, leurs durées de conservation, les personnes à qui elles peuvent être communiquées, etc.) ». S’il ne s’agit pas d’une obligation, plus ces dispositions sont précises, plus il est facile pour les organismes concernés de recourir à cette base légal » – source : La mission d’intérêt public 02/01/2019 – https://www.cnil.fr/fr/les-bases-legales/mission-interet-public

[6] Conseil d’Etat, 3 juin 2002, n° 461694 – point 13.

[7] Conseil d’Etat, 7 février 1936, Jamart et Conseil d’Etat, 3 juin 2002, n° 461694 – points 16 et 17.

[9] CJUE, n° C-73/16, point 109

[10] Guy Braidbant, « Données personnelles et société de l’information. Rapport au Premier Ministre sur la transposition en droit français de la directive n° 95/46 », 3 mars 1998.

[11] Conseil d’Etat, 28/06/1963, Narcy et Conseil d’Etat, 22/02/2007, n° 264541 – APREI

[12] Conseil d’Etat, 26/11/875, Pariset.

[13] Par exemple, Conseil d’Etat, 28/05/1971, Ville Nouvelle Est ou Conseil d’Etat, 19/01/2001, Confédération nationale des radios libres, n° 228815.

[14] Conseil d’Etat, 27/06/2022, n° 451665 – point 4

[15] Conseil d’Etat, 06/11/2019 n° 434376 – point 15.

[16] Conseil d’Etat, 10/12/2020, n° 429571 – points 7 et 8.

[17] Conseil d’Etat, 30/12/2021, n° 440376 – point 24.

[18] CJUE, n° C-439-19, point 99 “À cet égard, le traitement des données à caractère personnel en cause au principal, à savoir la communication au public des données relatives aux points de pénalité imposés pour des infractions routières, effectué par la CSDD est susceptible de relever de l’article 6, paragraphe 1, sous e), du RGPD, en vertu duquel le traitement est licite si, et dans la mesure où, il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »” ; CJUE, n° C-73/16 point 108 “En effet, il apparaît que la perception de l’impôt et la lutte contre la fraude fiscale, aux fins desquelles est établie la liste litigieuse, doivent être considérées comme étant des missions d’intérêt public au sens de cette disposition”.

[19] Article 6 §1 alinéa 2 du RGPD.

[20] Considérant 43 du RGPD.

[21] Soit que cela résulte de la volonté du législateur comme pour les centres d’aide par le travail devenus des ESAT (Conseil d’Etat, 22/02/2007, n° 264541 – APREI), soit que cela procède directement de l’appréciation du juge, par exemple pour l’exploitation d’un cinéma par une société d’économie mixte (Conseil d’Etat, 05/10/2007 n° 198773) ou encore la gestion d’un complexe sportif public (Conseil d’Etat, 03/12/2010 n° 338272).

 

en_USEN