L’intérêt légitime : comment fonder un traitement sur cette base légale ?
L’intérêt légitime est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Pour fonder un traitement sur ses intérêts légitimes, l’organisme traitant les données doit respecter certaines exigences. Il doit opérer une pondération entre son intérêt et les « intérêts ou libertés et droits fondamentaux des personnes » et doit également intégrer les « attentes raisonnables » de ces personnes. Cette « mise en balance » des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre.
L’intérêt légitime ne peut donc être considéré comme une base légale « par défaut » : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse.
Qui peut être concerné par la base légale « intérêt légitime » ?
L’intérêt légitime est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Elle peut fonder un traitement nécessaire à la satisfaction des intérêts du responsable du traitement ou d’un tiers, sous réserve de respecter certaines conditions.
Cette base légale concerne les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées.
Par ailleurs, le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions. Les autorités publiques doivent donc prioritairement se fonder sur d’autres bases légales, sauf cas particuliers.
Dans quelles conditions l’intérêt légitime peut-il constituer la base légale d’un traitement ?
Le recours à l’intérêt légitime pour fonder légalement un traitement est soumis à 3 conditions :
-
l’intérêt poursuivi par l’organisme doit être « légitime »
Cette condition, souvent de bon sens, n’est pas la plus problématique. Il n’existe pas de liste exhaustive des intérêts considérés comme légitimes, mais le RGPD et la jurisprudence en fournissent des illustrations. Cette base légale peut par exemple être envisagée pour les traitements de données :
- visant à garantir la sécurité du réseau et des informations,
- mis en œuvre à des fins de prévention de la fraude,
- nécessaires aux opérations de prospection commerciale auprès de clients d’une société,
- portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne ;
Au-delà de ces exemples, le caractère « légitime » de l’intérêt poursuivi par un organisme peut être présumé si les 3 conditions suivantes sont remplies :
- l’intérêt est manifestement licite au regard du droit ;
- il est déterminé de façon suffisamment claire et précise ;
- il est réel et présent pour l’organisme concerné, et non fictif.
-
l’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »
La condition de nécessité n’est pas propre à cette base légale. L’organisme doit vérifier que le traitement de données qu’il envisage permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs. Il doit également s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privé d’atteindre cet objectif que de mettre en œuvre le traitement envisagé (par exemple un dispositif ne traitant pas de données personnelles, ou un traitement différent plus protecteur de la vie privée).
Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.
Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.
Pour en savoir plus : La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
-
le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables
Le maniement de cette condition est plus complexe. Selon le RGPD, le traitement ne peut être mis en œuvre si « les intérêts ou les droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel » prévalent sur les intérêts de l’organisme.
L’organisme doit donc opérer une mise en balance, une pondération entre les droits et intérêts en cause, et vérifier dans ce cadre que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Concrètement, l’organisme doit tout d’abord identifier les conséquences de toutes sortes que son traitement peut avoir sur les personnes concernées : sur leur vie privée mais aussi, plus largement, sur l’ensemble des droits et intérêts couverts par la protection des données personnelles. Il s’agit ainsi d’évaluer le degré d’intrusion du traitement envisagé dans la sphère individuelle, en mesurant ses incidences sur la vie privée des personnes (traitement de données sensibles, traitement portant sur des personnes vulnérables, profilage, etc.) et sur leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités ou déplacements, exclusion de l’accès à des services, etc.). Ces incidences doivent être mesurées afin de déterminer, au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes.
L’organisme doit ensuite tenir compte, dans la pondération entre son intérêt légitime et les droits et intérêts des personnes, de leurs « attentes raisonnables ». Cette prise en compte est essentielle s’agissant de traitements qui peuvent être mis en œuvre sans le consentement préalable des personnes : en l’absence d’un acte positif et explicite de leur part, l’intérêt légitime requiert de ne pas surprendre les personnes dans les modalités de mise en œuvre comme dans les conséquences du traitement. Un bon test, lorsqu’un organisme envisage de fonder son traitement sur l’intérêt légitime, consiste donc à vérifier que le traitement s’inscrit dans le cadre de ces attentes : la démonstration d’un intérêt légitime sera plus aisée pour un dispositif qui peut être raisonnablement anticipé, dans un contexte donné (par exemple, la réalisation d’actions de fidélisation de personnes déjà clientes de la société), que pour un traitement divergeant des attentes des personnes (par exemple, l’utilisation d’un réseau social implique la mise en relation d’individus, mais le profilage de leurs actions en vue de leur adresser de la publicité ciblée peut dépasser leurs attentes raisonnables).
Enfin, l’organisme peut prévoir des mesures compensatoires ou additionnelles à mettre en place en vue de limiter les impacts du traitement sur les personnes concernées et d’atteindre ainsi un équilibre entre les droits et intérêts en cause. Par exemple, il peut être prévu, pour un traitement de ciblage fin des comportements d’achats en ligne des individus, susceptible de révéler de nombreuses préférences et habitudes touchant à leur intimité, un droit d’opposition inconditionnel des personnes, afin de leur permettre de faire cesser le profilage intrusif dont ils font l’objet.
En savoir plus
Afin d’évaluer la validité de l’intérêt légitime comme base légale du traitement envisagé, la méthodologie suivante doit être appliquée :
- identification du caractère « légitime » de l’intérêt poursuivi par le responsable du traitement et vérification du caractère « nécessaire » du traitement au vu de cet objectif ;
- évaluation des atteintes aux intérêts et droits et libertés des personnes et prise en compte de leurs attentes raisonnables ;
- mise en balance de ces éléments et, le cas échéant, prévision de mesures additionnelles.
Cette approche doit être suivie dans tous les cas de figure, y compris dans les cas où le caractère légitime de l’intérêt poursuivi par le responsable du traitement est manifeste.
Les développements suivants peuvent guider le responsable du traitement dans le suivi de cette méthodologie.
Quels sont les droits, libertés et intérêts des personnes à prendre en compte ?
Comment tenir compte des attentes raisonnables des personnes ?
Que faire en cas de déséquilibre entre les intérêts et droits en cause : quelles mesures compensatoires prévoir ?
Quelles sont les conséquences du choix de cette base légale ?
La base légale « intérêt légitime » a plusieurs conséquences importantes pour l’organisme qui traite les données et pour les personnes concernées par le traitement.
- Pour les organismes traitant les données : compte tenu de la complexité de la méthodologie à suivre pour s’assurer de la validité de cette base légale, la CNIL recommande, à titre de bonne pratique, que cette méthodologie fasse l’objet d’une documentation par le responsable du traitement, qui pourra notamment lui servir en cas de contrôle de la licéité du traitement. En tout état de cause, cet organisme doit être en capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement.
En pratique, pour les traitements les plus courants, cette méthodologie peut être prise en charge par la CNIL, en illustrant, dans les référentiels qu’elle publie progressivement sur les principales catégories de traitements, les cas et les circonstances dans lesquels le recours à l’intérêt légitime constitue un fondement valide pour les responsables du traitement.
- Pour les personnes : le droit à la portabilité ne peut pas s’exercer à l’égard des traitements fondés sur l’intérêt légitime. En revanche, une obligation de transparence renforcée est prévue pour ces traitements : la nature de l’intérêt légitime poursuivi par le responsable du traitement doit figurer dans les informations portées à la connaissance des personnes.
Exemples : en cas de prospection commerciale sur des produits analogues à ceux commandés par les clients d’une entreprise, l’organisme peut indiquer que l’intérêt légitime poursuivi est la promotion de ses produits auprès de ses clients ; en cas de dispositif de vidéosurveillance sur le lieu de travail d’un organisme, l’intérêt légitime mis en avant dans les mentions d’informations peut être d’assurer la sécurité de son personnel et de ses biens.