Attrilab

L'intérêt légitime doit prendre en compte les droits et intérêts des personnes concernées

L’intérêt légitime : attention au risque d’être hors la loi

L’intérêt légitime est la base de la collecte de données. Il n’est en effet pas possible de collecter et traiter de données sans intérêt à le faire, sous peine de dépenser inutilement du budget, et de se retrouver hors la loi dans le cas des données personnelles.

Cette notion a donc été introduite dans le RGPD pour étendre la possibilité pour les entreprises de collecter des données à caractère personnel malgré le strict encadrement imposé initialement par le Règlement Européen, et elle est rappelée sur le site de la Commission Européenne.

Cependant, l’intérêt légitime est à l’heure actuelle souvent détourné par les entreprises qui l’invoquent. Cette notion a introduit une zone grise dans le Règlement, dans la mesure où c’est à l’entreprise de démontrer que c’est bien dans son intérêt légitime de collecter les données concernées, qu’elle n’a pas d’autre choix, et surtout que la balance bénéfice pour l’entreprise versus risques pour les personnes dont les données sont collectées et positive – et c’est là toute la difficulté de l’exercice.

La clé : l’article 6 du RGPD

La collecte des données doit se faire au sein d’une base légale. Il en existe 6 d’après l’article 6 du RGPD :

  • Le consentement,
  • Le contrat,  
  • L’obligation légale,  
  • La sauvegarde des intérêts vitaux,
  • La mission d’intérêt publique, l’article de la semaine dernière,  
  • L’intérêt légitime.

L’intérêt légitime doit être clairement explicité auprès des utilisateurs, selon 3 critères

Il est nécessaire au préalable d’Identifier le porteur de l’intérêt légitime. L’intérêt peut être celui du responsable de traitement ou d’un tiers à qui les données sont communiquées. C’est ce porteur qui devra démontrer l’intérêt légitime de la collecte et du traitement des données concernées auprès de l’autorité de contrôle.

1er critère : L’intérêt poursuivi doit être légitime

Cette notion est en théorie la plus facile à démontrer. La CNIL donne quelques exemples

L’intérêt est  présumé légitime à condition de remplir les trois critères suivants : 

  • L’intérêt est manifestement licite au regard du droit, 
  • Il est déterminé de façon suffisamment claire et précise, 
  • Il est réel et présent pour l’organisme concerné et non fictif. 

2e critère : Le traitement doit être nécessaire

Le traitement doit être nécessaire pour atteindre l’objectif poursuivi par l’organisation qui le met en œuvre. Le critère de nécessité est applicable à tous les traitements de données personnelles, quelle que soit leur base légale. Le RGPD pose comme obligation que le traitement soit nécessaire pour atteindre une finalité prédéfinie. Cela signifie que le responsable du traitement ne peut pas atteindre le but poursuivi sans opérer le traitement.  

La manière dont le traitement est opéré entre également en compte dans l’évaluation du respect de ce critère. Le responsable du traitement doit traiter les données de la manière la plus adaptée et la moins intrusive pour la personne. Il doit s’assurer en amont qu’il n’existe aucun autre moyen de traiter les données concernées en assurant une meilleure protection de la vie privée.

Le responsable du traitement doit donc être capable de fournir une documentation détaillée des modalités du traitement, et notamment de justifier son intérêt légitime à exercer le traitement.

3e critère : Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées

Comme évoqué plus haut, l’organisme doit mettre en balance les droits et intérêts en cause, et vérifier dans ce cadre que ses intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Dit plus clairement, le traitement de données et les moyens mis en œuvre pour l’opérer ne doivent pas porter atteinte aux intérêts et aux droits des personnes. 

Le responsable de traitement doit donc au préalable, et tout au long du traitement des données, identifier toutes les conséquences de ce traitement sur la vie privée des personnes concernées, et sur leurs droits et intérêts couverts par la protection des données personnelles. Le responsable doit ensuite tenir compte des attentes personnelles “raisonnables” des personnes concernées, et donc garantir au maximum leur droit à la vie privée.

Les critères sont mieux détaillés dans cet article de Mission RGPD.

Attention donc à ne pas utiliser cette notion d’intérêt légitime à tort et à travers, car elle est finalement très encadrée, et souvent retoquée. C’est par exemple le cas du protocole TCF proposé par l’IAB, qui a été retoqué par l’autorité Belge sur cette base (entre autres).

On peut donc imaginer que traiter des données personnelles complètement anonymisées dans un but statistique de mesure de la performance de campagnes marketing peut être étudié au regard de l’intérêt légitime (prospection commerciale) – sans préjuger du résultat de l’étude ; et cibler les personnes qui ont vu un produit sur un site pour leur proposer un produit similaire d’un autre site peut être plus discutable. La frontière est mince dans l’évaluation de la balance bénéfices-risques, et les contraintes sont fortes. Google en a par exemple fait les frais en 2019 avec une amende de 50 MEUR à la clé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *