Quand y a-t-il un intérêt légitime ? Dans le cadre d'une demande de décision préjudicielle, la Cour de justice des Communautés européennes (CJCE) a dû interpréter la notion visée à l'article 6, paragraphe 1, point f) du RGPD. Concrètement, il s'agissait de savoir si une fédération sportive pouvait transmettre des données à caractère personnel de ses membres à des sponsors à des fins commerciales sans leur consentement explicite.
L'association transmet les données de ses membres à des sponsors
En 2018, l'Association royale néerlandaise de tennis sur gazon (Koninklijke Nederlandse Lawn Tennisbond, KNLTB) a transmis des données à caractère personnel de ses membres à deux sponsors :
- SportshopsDirect BV (TennisDirect), une entreprise qui distribue des articles de sport.
La KNLTB a transmis à TennisDirect les noms, adresses et lieux de résidence de ses membres pour l'envoi par courrier d'une lettre publicitaire. TennisDirect a à son tour transmis ces données au prestataire de services postaux PostNL. - Nederlandse Loterij Organisatie BV (NLO), le plus grand fournisseur de jeux de hasard et de casino aux Pays-Bas.
Le KNLTB a transmis au NLO, outre les noms, adresses et lieux de résidence de ses membres, leurs dates de naissance, numéros de téléphone fixe et mobile, adresses électroniques ainsi que les noms des clubs de tennis auxquels ces membres étaient affiliés. L'objectif de cette transmission était une campagne de prospection téléphonique, dans le cadre de laquelle le NLO transmettait ces données aux centres d'appel qu'il avait mandatés.
Pour la mise à disposition des données personnelles, le KNLTB a reçu une rémunération de la part des sponsors.
Suite à des plaintes de certains membres de la KNLTB, l'autorité néerlandaise de contrôle de la protection des données Autoriteit Persoonsgegevens (AP) a constaté que la KNLTB avait enfreint l'article 6, paragraphe 1, points a) et f), en liaison avec l'article 5, paragraphe 1, point a), du RGPD, en divulguant les données à caractère personnel de ses membres sans leur consentement et sans fondement légitime. L'AP a donc infligé une amende de 525 000 euros à la KNLTB par décision du 20 décembre 2019.
La KNLTB a fait appel de cette décision devant le Rechtbank Amsterdam (tribunal de district d'Amsterdam, Pays-Bas).
L'intérêt légitime comme base juridique pour la transmission de données
Selon la KNLTB, la mise à disposition des données reposait sur un intérêt légitime au sens de l'article 6, paragraphe 1, point f), du RGPD. Cet intérêt consisterait, d'une part, à établir un lien étroit entre la fédération et ses membres et, d'autre part, à pouvoir offrir aux membres une valeur ajoutée à leur adhésion sous la forme de réductions et d'offres auprès de partenaires, qui permettraient aux membres de jouer au tennis à un prix avantageux et abordable.
L'AP estime en revanche que seuls les intérêts appartenant à la loi, légaux et définis dans une loi sont des intérêts légitimes au sens de l'article 6, paragraphe 1, point f), du RGPD. Il doit s'agir d'intérêts considérés comme dignes de protection par le législateur de l'Union ou par le législateur national et qui doivent être appréciés en recourant à un "critère positif". En l'espèce, il ne s'agit pas de tels intérêts.
Le tribunal d'arrondissement d'Amsterdam ayant des doutes quant à l'interprétation de la notion d'"intérêts légitimes" au sens de l'article 6, paragraphe 1, point f), du RGPD, il a décidé de suspendre la procédure et de poser les questions préjudicielles suivantes à la CJCE :
- Comment la juridiction de renvoi doit-elle interpréter la notion d'"intérêt légitime" au sens de l'article 6, paragraphe 1, premier alinéa, sous f), du RGPD ?
- Cette notion doit-elle être interprétée de la manière dont la défenderesse l'interprète ? Couvre-t-elle exclusivement les intérêts qui relèvent de la loi, qui sont légaux et qui sont définis dans une loi ?
- Ou tout intérêt peut-il être un intérêt légitime, pour autant qu'il ne soit pas contraire à la loi ? De manière plus concrète : Un intérêt purement commercial et l'intérêt en question, à savoir la fourniture de données à caractère personnel contre rémunération sans le consentement de la personne concernée, peuvent-ils être considérés comme un intérêt légitime dans certaines circonstances ? Dans l'affirmative, quelles sont les circonstances qui déterminent si un intérêt purement commercial constitue un intérêt légitime ?
Conditions de légitimité du traitement conformément à l'article 6, paragraphe 1, point f), du RGPD
Selon la CJUE, le traitement des données à caractère personnel est licite en vertu de l'article 6, paragraphe 1, point f), du RGPD à trois conditions :
- Un intérêt légitime doit être perçu par le responsable du traitement ou par un tiers.
L'intérêt d'un responsable n'a pas besoin d'être défini par la loi. Selon la CJUE, un large éventail d'intérêts peut en principe être considéré comme légitime. Les intérêts économiques en font également partie. Toutefois, l'intérêt légitime invoqué doit être légitime. - Le traitement des données à caractère personnel doit être nécessaire à la réalisation de l'intérêt légitime.
Dans ce contexte, la condition de la nécessité du traitement des données doit être examinée conjointement avec le principe de la "minimisation des données", qui est ancré dans l'article 5, paragraphe 1, point c), du RGPD et qui exige que les données à caractère personnel soient "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement".
À cet égard, la CJUE écrit dans son arrêt : "En ce qui concerne la condition relative à la nécessité de ce traitement pour la réalisation de l'intérêt en cause et, en particulier, l'existence de moyens tout aussi appropriés et moins attentatoires aux droits et libertés fondamentaux des personnes concernées, il y a lieu de constater qu'il serait notamment possible pour une fédération sportive telle que la KNLTB, qui souhaite divulguer à des tiers les données à caractère personnel de ses membres contre rémunération, d'informer ses membres à l'avance et de leur demander s'ils souhaitent que leurs données soient communiquées à des tiers à des fins de publicité ou de marketing. Cette solution permettrait aux membres concernés de garder le contrôle de la divulgation de leurs données à caractère personnel, conformément au principe de minimisation des données, et de limiter ainsi la divulgation de ces données à ce qui est réellement nécessaire et pertinent au regard des finalités pour lesquelles ces données sont transmises et traitées".
- Les intérêts ou les droits et libertés fondamentaux de la personne dont les données doivent être protégées ne doivent pas prévaloir sur l'intérêt légitime du responsable du traitement ou d'un tiers.
La CJCE a constaté que les membres du KNLTB ne pouvaient pas raisonnablement s'attendre à ce que leurs données à caractère personnel soient transmises à des tiers sans leur consentement. La Cour a notamment critiqué la transmission des données à NLO, un fournisseur de jeux de hasard, car cela pouvait placer les membres dans des situations inattendues, telles que d'éventuelles activités promotionnelles dans le domaine des jeux de hasard, qui pourraient avoir des effets potentiellement néfastes.
Dans son arrêt, la CJUE interprète l'article 6, paragraphe 1, point f), du RGPD en ce sens "qu'un traitement de données à caractère personnel consistant à divulguer, contre rémunération, les données à caractère personnel des membres d'une association sportive dans le but de poursuivre l'intérêt économique poursuivi par le responsable du traitement ne peut être considéré comme nécessaire, au sens de cette disposition, à la sauvegarde des intérêts légitimes poursuivis par ce responsable que si ce traitement est absolument nécessaire à la réalisation de l'intérêt légitime en cause et pour autant que, compte tenu de toutes les circonstances pertinentes, les intérêts ou les libertés et droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Bien que cette disposition n'exige pas qu'un tel intérêt soit déterminé par la loi, elle exige que l'intérêt légitime invoqué soit légitime".
Conseil de lecture : L'EDSA publie des lignes directrices sur l'intérêt légitime
Intérêt légitime pertinent pour la pratique
Cet arrêt a une grande portée pour la pratique du traitement des données par les clubs sportifs et autres organisations qui traitent régulièrement les données à caractère personnel de leurs membres. Il précise que les intérêts économiques seuls ne constituent pas une base suffisante pour le traitement des données à caractère personnel sans le consentement des personnes concernées. Les organisations doivent dans tous les cas procéder à une mise en balance minutieuse des intérêts en jeu et veiller à ce que les droits et libertés des personnes concernées soient respectés.
L'obtention du consentement explicite des personnes concernées reste donc, dans de nombreux cas, la base juridique la plus sûre pour le traitement des données à caractère personnel, notamment à des fins commerciales.
L'arrêt souligne l'importance de la protection des données et du respect des droits fondamentaux dans le cadre du traitement des données à caractère personnel et fixe des limites claires à l'utilisation des données à des fins économiques.