Le 8 octobre 2024, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le traitement des données à caractère personnel sur la base d'un intérêt légitime. Avec ces lignes directrices, l'EDSA entend clarifier la notion d'"intérêt légitime". Les entreprises devraient se pencher sur ces lignes directrices, car elles visent à assurer une plus grande sécurité juridique.
Trois conditions pour un "intérêt légitime
L'intérêt légitime est l'un des six fondements juridiques possibles de l'article 6, paragraphe 1, du RGPD, sur la base duquel les données à caractère personnel peuvent être traitées légalement. L'article 6, paragraphe 1, point f), du RGPD prévoit que les données à caractère personnel peuvent être traitées si cela est nécessaire pour sauvegarder les "intérêts légitimes" du responsable du traitement ou d'un tiers - à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
La notion d'"intérêt légitime" est large au sens juridique et est désormais expliquée plus en détail dans les lignes directrices.
Pour pouvoir invoquer un intérêt légitime, le responsable du traitement doit, selon le CEPD, remplir trois conditions :
- poursuite d'un intérêt légitime par le responsable du traitement ou par un tiers
Comme le souligne le CEPD, seuls les intérêts qui sont légitimes, formulés de manière claire et précise, réels et actuels peuvent être considérés comme légitimes. De tels intérêts légitimes pourraient par exemple consister en une situation dans laquelle la personne est un client ou est au service du responsable du traitement. - Nécessité du traitement des données à caractère personnel pour la poursuite de l'intérêt légitime
S'il existe des alternatives appropriées, tout aussi efficaces mais moins intrusives, pour atteindre les intérêts poursuivis, le traitement peut être considéré comme non nécessaire. La nécessité du traitement devrait également être examinée à la lumière du principe de minimisation des données. - les intérêts ou les libertés et droits fondamentaux des personnes ne prévalent pas sur l'intérêt légitime du responsable du traitement ou d'un tiers (critère de mise en balance).
Le responsable du traitement doit veiller à ce que son intérêt légitime ne soit pas contrecarré par les intérêts, les droits fondamentaux ou les libertés fondamentales de la personne. Lors de cette mise en balance, le responsable du traitement doit tenir compte des intérêts des personnes, de l'impact du traitement et de leurs attentes raisonnables, ainsi que de l'existence de mesures de protection supplémentaires susceptibles de limiter l'impact sur la personne.
Nécessité de se concentrer sur le traitement
Les lignes directrices citent également comme exemple le traitement de données à caractère personnel à des fins de marketing direct, pour lequel les droits des personnes concernées doivent être soigneusement évalués.
Toutefois, l'évaluation dans les lignes directrices ne porte pas uniquement sur les intérêts économiques, mais aussi sur la prévention de la fraude, la garantie de la sécurité du réseau ou la mise en œuvre de processus administratifs internes.
Une exigence essentielle de l'article 6, paragraphe 1, point f), du RGPD est la "nécessité" du traitement. Les lignes directrices précisent que l'intérêt du responsable du traitement ne peut être poursuivi que s'il n'existe pas d'autre mesure moins intrusive pour atteindre le même objectif. La "minimisation des données", l'un des principes clés du RGPD, doit toujours être prise en considération.
Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - de quel pouvoir discrétionnaire dispose une autorité de protection des données ?
Mise en balance des intérêts légitimes et des droits ou libertés fondamentaux
L'étape la plus difficile dans l'application de l'article 6, paragraphe 1, point f), du RGPD est la mise en balance des intérêts légitimes du responsable du traitement et des droits et libertés de la personne concernée. Selon les lignes directrices, cette mise en balance doit être effectuée avant le début du traitement des données et dépend fortement du contexte. Des facteurs tels que le type de données traitées, l'impact du traitement sur la personne concernée et les attentes raisonnables de la personne concernée par rapport au traitement des données doivent être pris en compte.
Les lignes directrices soulignent également que la mise en balance est particulièrement stricte dans certains cas, comme le traitement des données de mineurs ou de personnes particulièrement vulnérables. Les enfants ayant besoin d'une protection particulière, l'équilibre des intérêts doit être plus exigeant lors du traitement de leurs données.
Selon les lignes directrices, le droit d'opposition prévu à l'article 21 du RGPD est particulièrement pertinent. Si la personne concernée s'oppose au traitement de ses données, le traitement ne peut être poursuivi que s'il existe des raisons impérieuses et légitimes.
Les lignes directrices du Comité européen de la protection des données relatives au rt. 6, paragraphe 1, point f), du RGPD apportent de précieuses clarifications sur l'utilisation des "intérêts légitimes" comme base juridique pour le traitement des données. Elles soulignent que cette base juridique ne doit pas être utilisée à la légère et qu'elle nécessite une mise en balance rigoureuse afin de préserver les droits fondamentaux des personnes concernées. Il est essentiel de documenter et d'effectuer soigneusement cette mise en balance afin de garantir la légitimité du traitement.