Le Comité européen de la protection des données (CEPD) dissipe une partie du flou juridique qui entoure la notion « d’intérêt légitime » et propose une méthodologie pour fonder le traitement de données personnelles sur cette base légale.
Une part d’incertitude demeure néanmoins concernant la conciliation des intérêts du responsable du traitement avec ceux des personnes concernées.
La licéité du traitement des données personnelles
Le traitement de données personnelles n’est licite que s’il est fondé sur l’une des six bases légales énoncées dans le règlement général sur la protection des données (RGPD).
Un traitement est ainsi autorisé lorsqu’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée » (article 6(1)(f) du RGPD).
Souvent utilisée en pratique, cette base légale reste toujours assez mal définie, justifiant l’adoption de lignes directrices européennes ayant un effet harmonisant.
Structure et enjeux des nouvelles lignes directrices
Les lignes directrices du CEPD présentent une méthode d’évaluation détaillée, illustrée par des cas pratiques.
Une analyse concrète est mise en place pour proposer un cadre équilibré pour l’intérêt légitime, sans en faire une base légale « fourre-tout » ou trop restrictive. La pondération finale demeure néanmoins complexe.
Identifier un intérêt légitime
Il n’existe pas de liste exhaustive des cas d’usage de cette base légale. Toutefois, le RGPD et la jurisprudence nous en donnent quelques exemples :
- Garantir la sécurité du réseau et des informations.
- Lutter contre la fraude.
- Faire de la prospection commerciale auprès des clients d’une société.
- Améliorer un produit.
- Evaluer la solvabilité d’une personne.
Plus généralement, le recours à cette base légale est soumis à trois conditions cumulatives :
- L’intérêt doit être légitime.
- Le traitement envisagé doit être nécessaire.
- Le traitement ne doit pas heurter les droits et intérêts des personnes visées par le traitement, compte tenu de leurs attentes raisonnables (« pondération » ou « mise en balance »).
Etape 1 : Un intérêt légitime
Trois conditions doivent être remplies :
- L’intérêt est manifestement licite au regard du droit.
Attention aux nouvelles réglementations européennes et notamment au règlement sur l’IA !
- Il est défini de façon suffisamment claire et précise.
- Il est actuel pour l’organisme concerné.
« Au cas où » n’est pas un intérêt légitime. L’intérêt doit exister au moment de la collecte des données et ne pas être simplement hypothétique (CJUE, 11 décembre 2019, C‑708/18).
Etape 2 : La nécessité
Comme pour les autres bases légales, le responsable du traitement doit pouvoir prouver :
- que le traitement mis en œuvre permet d’atteindre l’objectif annoncé,
- qu’il n’existe pas d’autres moyens raisonnablement accessibles et moins invasifs qui permettraient d’atteindre cet objectif (lié au principe de minimisation).
Toutefois, lorsque cette base légale est choisie, la nécessité s’interprète strictement (CJUE, 4 juillet 2023, C-252/21, Meta v. Bundeskartellamt). Le contrôle de la nécessité du traitement est donc plus exigeant lorsqu’il est fondé sur l’intérêt légitime.
Etape 3 : la pondération des intérêts
Pondération, mise en balance, test d’équilibre, tous ces termes renvoient à cet exercice délicat, habituellement dévolu aux juridictions et autorités de régulation, et auquel le responsable du traitement devra se plier, au risque de mal fonder son traitement.
1. Identifier les intérêts, droits et libertés fondamentaux des personnes concernées.
La mention explicite des « intérêts » des personnes concernées relève le niveau de protection et impacte le test de pondération. Le responsable de traitement doit ainsi envisager tous les aspects de la vie des personnes qui peuvent être touchés et pas uniquement la protection de la vie privée.
2. Analyser l’impact du traitement sur les personnes concernées
L’évaluation doit être objective et doit tenir compte des effets positifs ou négatifs, actuels ou potentiels du traitement sur la vie de chaque personne concernée. Le niveau de détail de l’analyse dépend des données collectées et du contexte.
Quelle que soit la méthode, il faudra tenir compte :
- De la nature des données à traiter et de leur caractère sensible.
- Du contexte du traitement (volume de données, relation entre les parties…).
- De toutes les conséquences engendrées par le traitement (juridiques, financières, psychologiques, sentiment de surveillance, etc.).
3. Identifier les attentes raisonnables de la personne concernée.
La mise en œuvre du traitement ou sa finalité ne doivent pas surprendre l’utilisateur.
Les attentes raisonnables sont déterminées in concreto, en fonction de critères objectifs et en tenant compte de la relation entre les parties, du contexte de la collecte et de la nature du service fourni. Respecter les exigences de transparence et d’information du RGPD ne suffira pas pour considérer qu’une personne ne sera pas surprise par le traitement.
Le fait que le traitement de certaines données soit courant dans un secteur en particulier ne permet pas de déduire une attente raisonnable (CJUE, C-252/21 précité, sur le traitement de données à des fins publicitaires sur un réseau social gratuit).
4. Procéder à la mise en balance et adopter des mesures d’atténuation si nécessaire.
Enfin, le responsable du traitement procédera au test de pondération. Si la balance ne penche pas en sa faveur, il pourra mettre en place des mesures d’atténuation. Il faudra aller au-delà de ce qui est imposé par le RGPD (transparence, sécurité, etc.).
Il s’agit d’un exercice complexe, qui devra être rigoureusement documenté pour réduire les risques de sanction en cas d’appréciation différente de l’autorité de contrôle.
Implications pratiques pour les acteurs du numérique
Le responsable du traitement doit pouvoir prouver que l’intérêt légitime existe et que le traitement ne porte pas une atteinte disproportionnée aux intérêts et droits des personnes visées.
Les professionnels devront donc :
- Documenter les étapes de leur analyse de l’intérêt légitime.
- Pouvoir démontrer la transparence et la proportionnalité de leurs traitements.
Heureusement, la CNIL prévoit de définir progressivement, pour les situations les plus courantes, les circonstances dans lesquelles le recours à l’intérêt légitime constitue un fondement valide.
En attendant, les professionnels pourront toujours consulter la CNIL qui pourra les accompagner dans leur démarche de conformité.
Sources :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
https://donnees.net/interet-legitime-rgpd