Comme indiqué précédemment, une image est une donnée à caractère personnel. Son traitement tombe sous certaines conditions dans le champ d’application de la législation concernant le droit à la protection des données à caractère personnel, en particulier quand la photo est fixée et publiée en dehors d’un cadre privé. Les obligations découlant du RGPD s’appliquent alors aux responsables de traitement et aux sous-traitants qui doivent pleinement respecter les droits des personnes concernées.
Le RGPD s’applique aux traitements de données à caractère personnel effectué par un responsable de traitement ou un sous-traitant agissant en dehors d’un cadre privé, c’est-à-dire aux professionnels (par exemple photographes professionnels), entreprises (par exemple entreprises opérant des réseaux sociaux et des services d’hébergement de données en ligne), administrations et associations.
Un traitement de données n’est licite que si au moins une des conditions suivantes, prévues à l’article 6 RGPD, est remplie :
- La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
- Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
- Le traitement est nécessaire au respect d’une obligation légale (claire et précise) à laquelle le responsable du traitement est soumis.
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
La plupart du temps, le traitement de données sera fondé sur le consentement de la personne concernée. Le consentement doit être « libre, spécifique, éclairé et univoque » de celui-ci. La personne concernée doit donc avoir un véritable choix. Pour les mineurs, les représentants légaux doivent donner leur consentement. S’agissant de traitements s’inscrivant dans l’offre directe de services de la société de l’information aux enfants, le consentement des mineurs d’au moins 16 ans est suffisant selon l’article 8 RGPD et le consentement des titulaires de l’autorité parentale n’est dès lors pas requise dans ce cas.
Le droit à l’image et le droit à la protection des données à caractère personnel sont deux droits fondamentaux qui ne sont pas soumis aux mêmes conditions : ainsi, si, en matière de droit à l’image, le consentement tacite est admis pour la capture de l’image, tel n’est pas le cas en matière de droit à la protection des données. Dès lors, en absence d’un consentement explicite ou d’un acte positif clair à la prise de vue, un responsable de traitement devra fonder son analyse sur une autre condition de licéité prévue par le RGPD. Un responsable de traitement pourra par exemple invoquer ses « intérêts légitimes ». Cette condition de licéité présuppose que le responsable de traitement prenne dûment en compte les « libertés et droits fondamentaux de la personne concernée », comme, dans le domaine sous considération, le droit à l’image.
Le traitement de données peut également être basé sur les autres conditions de licéité (par exemple : intérêt public, exécution d’un contrat).
Par exemple, un photographe peut se baser sur la condition de licéité relative à l’exécution d’un contrat quand il prend des photos d’identité ou quand il est engagé pour un photo shooting.
Les autorités publiques peuvent invoquer l’intérêt public ou l’intérêt vital de la personne concernée quand elles publient les photos, comme par exemple de personnes disparues.
Lorsque le RGPD est applicable, c’est-à-dire que le traitement a lieu en dehors du contexte domestique et personnel, les droits des personnes concernées doivent être respectés : droit à l’information, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit d’opposition et le droit à la limitation, ainsi que, le cas échéant, le droit de contester une décision prise sur base d’un processus automatisé, le droit au déréférencement et le droit à la portabilité des données.