RGPD : L’intérêt légitime, un substitut séduisant en l’absence de consentement ?

RGPD : L’intérêt légitime, un substitut séduisant en l’absence de consentement ?

RGPD : L’intérêt légitime, un substitut séduisant en l’absence de consentement ?

L’article 6 du RGPD indique clairement que pour être licite, un traitement de données personnelles doit être fondé sur l’une des bases légales prévues, parmi lesquelles figure l’intérêt légitime.

Pour citer cet article, un traitement serait donc possible et licite lorsqu’il est :

« [N]écessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Avant toute chose, il convient de délimiter et de ne pas confondre l’intérêt avec la finalité.

La finalité est la raison pour laquelle la donnée personnelle est traitée, tandis que l’intérêt est le bénéfice tiré de ce traitement. Parmi les deux notions, c’est bien l’intérêt qui doit être légitime.

À partir de quel moment peut-on considérer qu’un intérêt est légitime ?

La notion d’intérêt légitime est très variée et il n’existe évidemment pas de liste exhaustive permettant d’assurer que tel ou tel intérêt est légitime.

Cependant, il apparaît incontestable que certains intérêts puissent être plus facilement caractérisés comme légitimes que d’autres. Par exemple, dans le domaine de la presse, l’exercice du droit à la liberté d’expression permet aisément de considérer que l’intérêt poursuivi est légitime. C’est encore le cas lorsqu’un responsable de traitement souhaite recouvrir une créance via un organisme de recouvrement.

Le considérant n° 47 du RGPD vient également à notre secours pour caractériser l’intérêt comme légitime dans certains cas. Selon ce paragraphe, une entreprise peut avoir un intérêt légitime lorsqu’il existe déjà une relation entre elle et la personne concernée, soit qu’il s’agisse de l’un de ses salariés soit que la personne soit déjà cliente auprès d’elle.

Le traitement de données personnelles à des fins de prospection commerciale peut également être considéré, dans certains cas, comme étant réalisé pour répondre à un intérêt légitime.

Mais cet intérêt légitime ne suffit pas à permettre le traitement de données personnelles envisagé. Ce n’est qu’un point de départ !

Une mise en balance délicate à réaliser 

Pour pouvoir se fonder sur l’article 6 f) et considérer que le traitement de données personnelles est possible car fondé sur un intérêt légitime, il faut le soumettre à la pratique dite de « mise en balance ».

En effet, le règlement précise que le traitement ne pourra être fondé sur l’intérêt légitime “[qu’]à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée”.

La mise en balance consiste donc à comparer l’intérêt légitime du responsable de traitement avec les intérêts, droits et libertés fondamentales des personnes dont on envisage de traiter les données.

La marche à suivre, décrite en détail par l’ICO britannique, se décompose en trois étapes :

  1. Analyser l’intérêt légitime ;

  2. Examiner l’incidence sur les personnes concernées ; et

  3. Comparer les deux pour déterminer lequel prévaut.

Si, même après cette comparaison, des doutes persistent, il convient d’analyser si des garanties entourent le traitement (comme des mécanismes qui permettent de s’opposer facilement aux traitements) afin de faire pencher la balance dans un sens ou dans l’autre.

Autant dire que la porte est étroite, et qu’il faudra raisonner au cas par cas… et surveiller de près l’activité des autorités de contrôle nationales comme de l’European Data Protection Board.