Quand y a-t-il un intérêt légitime ? Dans le cadre d'une demande de décision préjudicielle, la Cour de justice des Communautés européennes (CJCE) a défini la notion visée à l'article 6, paragraphe 1, point f), du traité CE. RGPD à interpréter. Concrètement, il s'agissait de savoir si une fédération sportive pouvait données à caractère personnel de ses membres sans leur accord explicite Consentement à des fins commerciales à des sponsors.
L'association transmet les données de ses membres à des sponsors
En 2018, l'Association royale néerlandaise de tennis sur gazon (Koninklijke Nederlandse Lawn Tennisbond, KNLTB) a transmis données à caractère personnel de ses membres à deux sponsors :
- SportshopsDirect BV (TennisDirect), une entreprise qui distribue des articles de sport.
La KNLTB a transmis à TennisDirect les noms, adresses et lieux de résidence de ses membres pour l'envoi par courrier d'une lettre publicitaire. TennisDirect a à son tour transmis ces données au prestataire de services postaux PostNL. - Nederlandse Loterij Organisatie BV (NLO), le plus grand fournisseur de jeux de hasard et de casino aux Pays-Bas.
La KNLTB a transmis à la NLO, outre les noms, adresses et lieux de résidence de ses membres, leurs dates de naissance, numéros de téléphone fixe et mobile, adresses électroniques ainsi que les noms des clubs de tennis auxquels ces membres étaient affiliés. Le but de cette Transmission était une opération de prospection téléphonique dans le cadre de laquelle le NLO a transmis ces données aux centres d'appel qu'il avait mandatés.
Pour la mise à disposition des données personnelles, le KNLTB a reçu une rémunération de la part des sponsors.
Suite à des plaintes de certains membres de la KNLTB, l'autorité néerlandaise de contrôle de la protection des données Autoriteit Persoonsgegevens (AP) a constaté que la KNLTB avait enfreint l'article 6, paragraphe 1, points a) et f), en liaison avec l'article 5, paragraphe 1, point a). RGPD en utilisant les données personnelles de ses membres sans leur consentement. Consentement et sans base légale. L'AP a donc infligé une amende de 525 000 euros à la KNLTB par décision du 20 décembre 2019.
La KNLTB a fait appel de cette décision devant le Rechtbank Amsterdam (tribunal de district d'Amsterdam, Pays-Bas).
L'intérêt légitime comme base juridique pour la transmission de données
Selon le KNLTB, la mise à disposition des données reposait sur un intérêt légitime au sens de l'article 6, paragraphe 1, point f). RGPD. Cet intérêt consisterait, d'une part, à créer un lien étroit entre l'association et ses membres et, d'autre part, à pouvoir offrir aux membres une valeur ajoutée à leur adhésion sous la forme de réductions et d'offres chez des partenaires qui permettent aux membres de jouer au tennis à un prix avantageux et abordable.
En revanche, l'AP estime que seuls les intérêts qui font partie de la loi, qui sont légaux et qui sont définis dans une loi, doivent être pris en compte. intérêts légitimes au sens de l'art. 6, al. 1, let. f RGPD sont des intérêts. Il doit s'agir d'intérêts considérés comme dignes de protection par le législateur de l'Union ou par le législateur national et qui doivent être appréciés par référence à un "critère positif". En l'espèce, il ne s'agit pas de tels intérêts.
Le tribunal d'arrondissement d'Amsterdam ayant des doutes quant à l'interprétation du terme "intérêts légitimes" au sens de l'article 6, paragraphe 1, point f). RGPD il a suspendu la procédure et posé les questions préjudicielles suivantes à la CJCE :
- Comment la juridiction de renvoi a-t-elle interprété la notion d'"intérêt légitime" au sens de l'article 6, paragraphe 1, premier alinéa, sous f) ? RGPD à interpréter ?
- Cette notion doit-elle être interprétée de la manière dont la défenderesse l'interprète ? Couvre-t-elle exclusivement les intérêts qui relèvent de la loi, qui sont légaux et qui sont définis dans une loi ?
- Ou tout intérêt peut-il être un intérêt légitime, pour autant qu'il ne soit pas contraire à la loi ? De manière plus concrète : Un intérêt purement commercial et l'intérêt en question, à savoir la fourniture de données à caractère personnel contre rémunération sans le consentement de la personne concernée, peuvent-ils être considérés comme un intérêt légitime dans certaines circonstances ? Dans l'affirmative, quelles sont les circonstances qui déterminent si un intérêt purement commercial constitue un intérêt légitime ?
Conditions de légitimité du traitement conformément à l'article 6, paragraphe 1, point f), du RGPD
Selon la CJCE, la Traitement de données à caractère personnel conformément à l'art. 6, paragraphe 1, point f) RGPD légale à trois conditions :
- De la part de la Traitement responsable ou par un tiers, un intérêt légitime doit être perçu.
L'intérêt d'un responsable n'a pas besoin d'être défini par la loi. Selon la CJUE, un large éventail d'intérêts peut en principe être considéré comme légitime. Les intérêts économiques en font également partie. Toutefois, l'intérêt légitime invoqué doit être légitime. - Le site Traitement des données à caractère personnel doit être nécessaire à la réalisation de l'intérêt légitime.
La condition de Nécessité du traitement des données est à cet égard, conjointement avec le principe de la "Minimisation des données"Il convient d'examiner l'article 5, paragraphe 1, point c), de la directive sur la protection des données. RGPD et exige que données à caractère personnel "adéquates et pertinentes, et limitées à ce qui est nécessaire aux fins de la Traitement nécessaire".
La CJCE écrit à ce sujet dans son arrêt : "En ce qui concerne la condition de la Nécessité ce Traitement à la réalisation de l'intérêt en question, et notamment l'existence de moyens tout aussi appropriés et moins attentatoires aux droits et libertés fondamentaux des personnes concernées, force est de constater qu'il est impossible pour une fédération sportive comme la KNLTB qui données à caractère personnel de ses membres contre rémunération, notamment en informant ses membres à l'avance et en leur demandant s'ils souhaitent que leurs données soient transmises à des tiers à des fins de publicité ou de marketing. Troisième être transmis à d'autres. Cette solution permettrait aux députés concernés, conformément au principe de la Minimisation des données de garder le contrôle de la divulgation de leurs données à caractère personnel et de limiter ainsi la divulgation de ces données à ce qui est réellement nécessaire et pertinent au regard des finalités pour lesquelles ces données sont transmises et traitées".
- Les intérêts ou les droits et libertés fondamentaux de la personne dont les données doivent être protégées ne doivent pas prévaloir sur l'intérêt légitime du responsable du traitement ou d'un tiers.
La CJCE a constaté que les membres de la KNLTB ne pouvaient pas raisonnablement s'attendre à ce que leurs données à caractère personnel soient traitées sans leur consentement. Consentement à Troisième être transmises à des tiers. La Cour a notamment critiqué la transmission des données à NLO, un fournisseur de jeux de hasard, car cela pouvait placer les membres dans des situations inattendues, telles que d'éventuelles activités promotionnelles dans le domaine des jeux de hasard, qui pourraient avoir des effets potentiellement néfastes.
Dans son arrêt, la CJCE interprète l'article 6, paragraphe 1, point f), comme suit RGPD qu'une "politique de Traitement de données à caractère personnel, qui consiste à données à caractère personnel des membres d'une association sportive dans la poursuite de l'intérêt économique du responsable du traitement, contre rémunération, ne peut être considérée comme nécessaire, au sens de cette disposition, à la sauvegarde des intérêts légitimes de ce responsable que si la Traitement est absolument nécessaire à la réalisation de l'intérêt légitime en question et à condition que, compte tenu de toutes les circonstances pertinentes, les intérêts ou les libertés et droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Bien que cette disposition n'exige pas qu'un tel intérêt soit déterminé par la loi, elle exige que l'intérêt légitime invoqué soit légitime".
Conseil de lecture : L'EDSA publie des lignes directrices sur l'intérêt légitime
Intérêt légitime pertinent pour la pratique
Cet arrêt a une grande importance pour la pratique du traitement des données par les clubs sportifs et autres organisations qui traitent régulièrement des données personnelles. données à caractère personnel de leurs membres. Il précise que les intérêts économiques ne constituent pas à eux seuls une base suffisante pour la Traitement de données à caractère personnel sans Consentement des personnes concernées. Dans tous les cas, les organisations doivent procéder à une mise en balance minutieuse des intérêts en jeu et veiller à ce que les droits et libertés des personnes concernées soient respectés.
L'obtention d'une autorisation expresse Consentement des personnes concernées reste donc, dans de nombreux cas, la base juridique la plus sûre pour la Traitement de données à caractère personnel, notamment à des fins commerciales.
L'arrêt souligne l'importance de la protection des données et du respect des droits fondamentaux dans le cadre de la Traitement L'article 5 de la directive sur la protection des données met l'accent sur la protection des données à caractère personnel et fixe des limites claires à l'utilisation des données à des fins commerciales.
German 
English 
Italian 
French