La question de l’intérêt légitime d’un organisme comme fondement de la licéité de traitements est celle qui porte le plus à controverses, alors que consentement, contrat, obligation légale, sauvegarde des intérêts vitaux ou missions d’intérêt public paraissent mieux cadrés.

Le consentement fait certes aussi objet de polémiques, notamment pour les sites Web éditoriaux qui veulent conserver un consentement par défaut, mais ce n’est rien en comparaison des interprétations qui sont faites de l’intérêt légitime par certains responsables des traitements.

Par exemple, le responsable commercial d’une entreprise sera tenté de justifier le fait de contacter des personnes physiques à titre personnel pour vendre ses biens et services, sans avoir obtenu préalablement leur consentement, comme étant de l’intérêt légitime de l’entreprise pour pouvoir développer son chiffre d’affaire. Et vous vous retrouvez ainsi appelé chez vous entre midi et 14h par des call centers pour vous vendre plein de choses extraordinaires, alors que votre numéro a bien été inscrit sur BLOCTEL…

Nous allons donc essayer d’y voir plus clair avec cet article.

Définition de l’intérêt légitime du responsable des traitements

Selon la CNIL, « le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ».

La fin de la phrase a son importance : il faut certes prendre en compte l’intérêt de l’organisme responsable des traitements, mais sans que cela nuise aux droits et intérêts des personnes concernées.

Pour reprendre l’exemple déjà évoqué, il n’entre donc pas dans l’intérêt pas dans l’intérêt légitime d’un responsable commercial de contacter des personnes physiques sur leur numéro personnel, sans avoir eu leur consentement préalable – et circonstance aggravante quand elles sont inscrites sur BLOCTEL !

Mais pour approfondir ces concepts, il faut nous plonger dans les avis du G29…

L’Intérêt légitime mis en balance avec les droits et intérêts des personnes concernées

Le Groupement de travail de l’article 29 (appelé aussi « G29 ») est un organisme consultatif européen indépendant sur ma protection des données personnelles ; ses avis sont importants pour interpréter le RGPD.

Ainsi, dès avril 2014, le G29 a publié un avis sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données, qui sert toujours aujourd’hui de référence sur ce sujet.

Il y décrit une « mise en balance » entre l’intérêt légitime du responsable des traitements d’une part, et les droits et intérêts de la personne concernée de l’autre.

L’intérêt légitime du responsable des traitements doit :

• Être établi sur une base légale dans le pays et dans l’Union Européenne ;
• Être suffisamment précis pour pouvoir être mis en balance avec les droits des personnes concernées ;
• Constituer un intérêt « réel et présent », c’est-à-dire concerner des activités qui ne sont pas hypothétiques.

Les droits ET intérêts des personnes concernées doivent être quant à eux interprétés largement, ce qui donne en pratique plus de protection qu’une simple référence à leurs droits et libertés fondamentales ; en particulier, le G29 considère qu’il y a un déséquilibre en faveur des responsables des traitements qui ont des moyens d’investigation « sans précédents », et donc qu’il faut protéger dans leur intérêt la vie privée des personnes concernées.

La balance doit par conséquent tenir compte aussi de l’impact de l’intérêt légitime du responsable des traitements sur les personnes concernées ; par exemple l’impact moral négatif que peut subir une personne concernée par la perte de contrôle et la diffusion sur Internet de données personnelles à son insu (photos, vidéos, informations de santé…).

Penser à bien documenter la justification de l’intérêt légitime

Aussi bien la CNIL que le G29 recommandent de bien documenter les fondements de l’intérêt légitime d’un traitement.

Le G29 préconise d’évaluer successivement :

• Les fondements juridiques (consentement, contrat etc.) ;
• La qualification de l’intérêt légitime (licéité, précis, réel et présent) ;
• La nécessité du traitement pour la réalisation de l’intérêt ;
• La balance avec les droits ET intérêts concrets des personnes concernées ;
• Les garanties supplémentaires à offrir éventuellement aux personnes concernées pour rééquilibrer la balance.

La CNIL quant à elle insiste sur la documentation à mettre en place pour démontrer l’intérêt légitime du responsable de traitements en cas de contrôle.

---

Vous avez des problématiques RGPD? Les solutions sont par ici !

---