RGPD et bases légales : Tout comprendre sur la sauvegarde des intérêts vitaux

La sauvegarde des intérêts vitaux… En quoi consiste cette base légale ? Quel traitement peut être mis en place sur ce fondement ?

Asseyez-vous confortablement avec votre snack préféré, on vous explique tout en 5 min ! ?

La réponse au quizz « Dans quel secteur la base légale « sauvegarde des intérêts vitaux » est-elle le plus souvent utilisée ? ? »

Pour introduire le sujet, nous vous avons proposé un quizz, le 5 avril dernier sur notre page LinkedIn, en vous demandant quel secteur utilisait la base légale « sauvegarde des intérêts vitaux » le plus souvent.

Bien joué ! Sur 161 votants, 93% d’entre vous ont « Le domaine de la santé ?‍⚕️ ». En effet, le la sauvegarde des intérêts vitaux est le plus souvent utilisé dans le domaine de la santé.

Les 6 bases légales prévues par le RGPD

La sauvegarde des intérêts vitaux est l’une des 6 bases légales prévues par le RGPD. Choisir sa base légale est obligatoire pour que le traitement de données soit licite. Cela détermine également les droits dont vont pouvoir se prévaloir les personnes concernées pour le traitement considéré. Les droits ne seront pas les mêmes en fonction de la base choisie. Il s’agit de l’une des 6 bases légales suivantes : ?

• Le consentement,
• Le contrat,
• L’obligation légale, l’article de la semaine dernière,
• La sauvegarde des intérêts vitaux, l’article de cette semaine,
• La mission d’intérêt publique,
• L’intérêt légitime.

Nous sommes en train, à l’occasion de nos articles de blog et nos épisodes de 1 minute pour tout comprendre, de vous présenter et expliquer en détails chacune de ces bases légales. Suivez-nous pour ne rien manquer. La semaine prochaine nous aborderons la mission d’intérêt publique ! ?‍?

Comprendre la base légale de la sauvegarde des intérêts vitaux ?

La sauvegarde des intérêts vitaux est donc l’une des bases légales prévue par le RGPD. Son utilisation est limitée à certaines activités de traitement de données. Elle est majoritairement utilisée par les établissements de santé. C’est par exemple l’hypothèse dans laquelle un hôpital traite les données d’un patient qui nécessite des soins en urgence. La personne, si elle est inconsciente, ne peut pas consentir au traitement de ses données. Pourtant ce traitement est nécessaire à sa prise en charge. L’hôpital doit soigner la personne et agir rapidement pour la sauver. L’établissement traite quand même les données de la personne, sans son accord pour que son dossier soit créé et qu’elle soit soignée. Les données concernées seront par exemple son nom, son prénom, son âge, etc. Pour traiter ces données, l’établissement peut utiliser comme base légale la sauvegarde des intérêts vitaux.

Mais dans ce contexte, l’hôpital est également amené à traiter des données de santé. Il faut distinguer la base légale « sauvegarde des intérêts vitaux » du traitement de données de santé. S’agissant des données de santé, le RGPD interdit en principe leur traitement du fait de leur caractère sensible. Cette disposition est prévue à l’article 9 du RGPD selon lequel : « Le traitement […] des données concernant la santé […] est interdit. »

Or, le second paragraphe de l’article 9 liste des exceptions à ce principe. Dans certaines situations, le traitement des données de santé peut effectivement être mis en œuvre par les responsables de traitement concernés. La sauvegarde des intérêts vitaux fait partie de ces exceptions qui permettent de traiter des données de santé dites sensibles. Cette disposition prévoit que le traitement peut être effectué sur cette base à deux conditions : ?

• Le traitement est nécessaire pour protéger la vie d’une personne ou d’un tiers,
• La personne concernée est dans l’incapacité physique ou juridique de donner son consentement.

Ainsi la base légale du traitement est la sauvegarde des intérêts vitaux. Il s’agit également de l’exception permettant de traiter les données de santé en tant que données sensibles

Dans quelles conditions choisir la sauvegarde d’un intérêt vital comme base légale ? ?

Le considérant 46 du RGPD prévoit qu’un traitement de données est considéré licite dès lors qu’il est nécessaire pour « protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique ».

1er critère : la nécessité du traitement ?

Le critère de nécessité est applicable à tous les traitements de données personnelles. Le RGPD pose comme obligation que le traitement soit nécessaire pour atteindre une finalité prédéfinie. Cela signifie que le responsable de traitement ne puisse pas atteindre le but poursuivi sans opérer le traitement.

La manière dont le traitement est opéré entre également en compte dans l’évaluation du respect de ce critère. C’est-à-dire que le responsable de traitement doit choisir la manière de traiter les données la plus adaptée et la moins intrusive pour la personne.

Ainsi, pour reprendre l’exemple de la prise en charge d’un patient inconscient, le responsable de traitement doit avant tout justifier que le traitement est absolument nécessaire pour prendre en charge la personne. Pour ce faire, le traitement des données, et particulièrement de données sensibles, doit être minimisé et sécurisé. Pour en savoir plus sur le principe de minimisation, retrouvez notre article dédié à ce sujet !

2e critère : la protection de la vie d’une personne ?

Pour appliquer la sauvegarde d’un intérêt vital comme base légale d’un traitement, le responsable de traitement doit justifier que le traitement est nécessaire pour sauver la personne. Pour que cette base légale soit applicable, la vie de la personne doit être en jeu.

Il peut s’agir directement de la personne concernée ou d’un tiers.

3e critère : l’absence de consentement ?

La personne ne doit pas être en mesure de consentir au traitement de ses données. Si c’était le cas, la base légale applicable serait le consentement. Notez que le consentement est également une exception prévue par le paragraphe 2 de l’article 9 du RGPD. Lorsque la personne consent au traitement de ses données de santé, le traitement peut être opéré. En l’absence de consentement, à condition que les critères précédents soient remplis, la sauvegarde des intérêts vitaux peut être la base légale du traitement.

L’article 9 paragraphe 2 précise qu’il peut s’agir d’une incapacité physique de donner son consentement, c’est l’exemple de la personne prise en charge alors qu’elle est inconsciente, mais aussi juridique. L’incapacité juridique peut être liée à l’âge de la personne, c’est le cas du mineur non émancipé. Les personnes majeures peuvent également être frappées d’incapacité du fait de leur état physique ou mental.

La sauvegarde des intérêts vitaux peut se coupler à la sauvegarde d’un intérêt public. Le considérant 46 du RGPD donne l’exemple des traitements nécessaires à des fins humanitaires (suivi des épidémies et de leur propagation, catastrophes naturelles, etc.).

Quelle conséquence sur le droit des personnes ? ?

Lorsque le traitement est basé sur la sauvegarde des intérêts vitaux, certains droits ne peuvent pas être exercés par les personnes concernées. Celles-ci ne pourront vraisemblablement pas s’opposer au traitement de leurs données. Comme expliqué précédemment, la personne n’a pas d’autre choix que de voir ses données traitées puisqu’elle n’est pas en état d’agir.

D’autre part, le droit à la portabilité des données ne peut pas être exercé. En effet, ce droit ne peut être exercé que si le traitement est fondé sur le consentement ou un contrat. Nous vous en dirons plus dans les articles à venir !

Le responsable de traitement doit informer les personnes qu’elles ne pourront pas exercer ces droits dans une politique interne et/ou externe de confidentialité.

Mission RGPD face à la sauvegarde des intérêts vitaux

Vous avez du mal à savoir quelle base légale choisir ? Vous n’avez pas le temps nécessaire à accorder à la gestion de votre mise en conformité ? Nos articles ne vous suffisent pas pour tout gérer ?

Pas de panique ! ✅ Avec MRGPD, vous disposez de nombreux modèles de documents utiles pour votre conformité RGPD. Parmi ces documents vous trouverez des modèles de politiques interne et externe de confidentialité. Vous pouvez les télécharger et les adapter à la situation de votre organisation.

Gagnez du temps avec un document conforme pré-remplis !

Ne perdez plus de temps, c’est si simple !