Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
L'intérêt légitime est souvent la base juridique „à tout faire“ dans la pratique, mais aussi l'une des plus sujettes aux erreurs. Celui qui utilise l'art. 6 al. 1 let. f RGPD doit au préalable justifier clairement l'existence d'un intérêt légitime, la raison pour laquelle le projet d'utilisation de l'espace public n'est pas conforme à la loi. Traitement et pourquoi, en fin de compte, aucun droit prépondérant des personnes concernées ne s'y oppose. L'article guide systématiquement à travers l'examen en trois étapes de la détermination de l'intérêt légitime à l'aide du catalogue de questions du commissaire hambourgeois à la protection des données et à la liberté d'information et montre, à l'aide d'exemples pratiques (notamment publicité directe et Vidéosurveillance), comment établir une pesée d'intérêts solide, la documenter et la mettre en œuvre de manière contradictoire dans la pratique de la conformité.
L'intérêt légitime comme arme polyvalente DEGVO
Art. 6, paragraphe 1, lettre f RGPD offre aux entreprises et aux autorités une base juridique flexible pour Traitement de données à caractère personnel, pour autant que intérêts légitimes du responsable du traitement ou d'un tiers et qu'aucun intérêt ou droit fondamental prépondérant des personnes concernées ne s'y oppose. Cette clause de mise en balance exige toutefois un examen minutieux au cas par cas.
Déjà le Cour constitutionnelle fédérale (BVerfG) a souligné dans l'arrêt sur le recensement de 1983 que les atteintes au droit de l'autodétermination en matière d'information ne sont autorisées qu'en cas d'intérêt général prépondérant sur la base d'une loi proportionnée. En conséquence, le législateur européen a introduit le contrôle en trois étapes à l'article 6, paragraphe 1, point f). RGPD qui vise à garantir que chaque Traitement sur la base d'un intérêt légitime est effectuée conformément à la loi et de manière proportionnée.
Dans la pratique, il faut Responsable de vérifier au préalable de manière documentée,
- s'il existe un intérêt légitime,
- si les Traitement est nécessaire à cet effet, et
- si les intérêts ou les droits fondamentaux des personnes concernées ne prévalent pas.
Le 6 janvier 2026, le délégué hambourgeois à la protection des données et à la liberté d'information (HmbBfDI) a publié un catalogue de questions qui énumère les critères pour chaque étape et permet une mise en balance structurée des intérêts. Les trois étapes de vérification sont expliquées de manière systématique ci-dessous et illustrées par des exemples pratiques.
Existence d'un intérêt légitime
Dans un premier temps, il convient d'examiner l'intérêt du Responsable ou un tiers poursuit concrètement avec le traitement de données prévu. Art. 6, paragraphe 1, point f RGPD mentionne expressément tant les intérêts propres du responsable que les intérêts de tiers (personnes physiques ou morales, autorités publiques, etc., cf. article 4, point 10) RGPD). Ce qui est déterminant, c'est qu'il s'agisse d'un intérêt „légitime“. Cette notion doit être comprise au sens large : Il peut être de nature juridique, économique, idéelle ou factuelle. En principe, un large éventail d'intérêts entre en ligne de compte, comme les intérêts économiques (par exemple, augmentation de l'efficacité, réduction des coûts), les intérêts en matière de sécurité (protection contre la fraude, le vol ou les cyberattaques) ou les intérêts sociaux/internes (préservation de la sécurité du réseau, assurance qualité, entretien de la clientèle). Toutefois, certains critères de qualification doivent être remplis pour qu'un intérêt soit reconnu comme „légitime“ :
- Légitimité et conformité juridique : L'intérêt poursuivi doit être légitime. Les intérêts qui sont contraires à la législation en vigueur de l'UE ou d'un État membre ne sont pas légitimes en soi. Par exemple, un „intérêt“ dans l'utilisation discriminatoire des données ou dans la protection générale des données pourrait être considéré comme un intérêt légitime. Conservation des données sans objet est inadmissible.
- Clarté et précision : L'intérêt et le but concret de la Traitement doivent être formulés de manière concrète et précise. Seul un intérêt clairement déterminé peut être utilement opposé à la troisième étape. Droits des personnes concernées doivent être pesées. Des indications vagues ou générales („n'importe quel but commercial“) ne suffisent pas.
- Actualité et lien avec la réalité : L'intérêt doit être réel et actuel, et non simplement spéculatif ou hypothétique. Un avantage seulement possible, situé dans un avenir lointain, ne justifie pas un traitement actuel des données. Exemple : le stockage de données clients „en réserve“ pour des idées commerciales futures encore indéterminées ne serait pas un intérêt légitime.
Si ces conditions sont remplies, on peut considérer qu'il existe un intérêt légitime (c'est-à-dire légitime et digne de protection). Des exemples typiques se trouvent dans les considérants : Ainsi, le considérant 47 cite explicitement la publicité directe comme un cas possible d'intérêt légitime. Une entreprise peut donc en principe partir du principe que l'intérêt pour le marketing direct (notamment vis-à-vis des clients existants) peut être légitime.
6 questions sur l'intérêt légitime
Quel est l'intérêt de l'activité de traitement ?
Il s'agit ici de l'avantage général escompté de l'activité de traitement, comme par exemple la „commercialisation de produits“. Les considérants 47 à 49 de la RGPD contiennent des exemples de intérêts légitimes.
Quelle est la finalité concrète du traitement envisagé ?
Il s'agit ici de l'objectif ou de la raison concrète du traitement de données prévu. Exemple : publicité directe à ses propres clients par courrier postal (p. ex. catalogue publicitaire).
Qui suit l'intérêt ?
Art. 6, paragraphe 1, lettre f RGPD comprend les propres et les autres (troisième) Intérêts . „tiers“ : une personne physique ou morale, une autorité publique, un service ou un autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données à caractère personnel, art. 4, point 10 RGPD.
L'intérêt est-il légitime et n'est-il pas contraire à la législation en vigueur ?
Les intérêts qui contreviennent à la législation en vigueur dans l'UE ou dans un État membre ne sont pas admissibles.
L'intérêt est-il formulé de manière claire et précise ?
La portée de l'intérêt légitime poursuivi doit être clairement définie afin de permettre une mise en balance avec les intérêts et les droits fondamentaux de la personne concernée lors de la troisième étape.
L'intérêt est-il réel et présent ?
Les intérêts spéculatifs ou hypothétiques échappent à une évaluation pertinente et ne peuvent donc pas justifier un traitement de données. Exemple : une Conservation des données pour des idées commerciales futures et non encore concrétisées.
Nécessité du traitement
S'il existe un intérêt légitime, il faut dans un deuxième temps Nécessité et l'adéquation des mesures prévues Traitement pour la poursuite de cet intérêt sont examinées. Art. 6, al. 1, let. f RGPD exige que les Traitement „est nécessaire aux fins des intérêts légitimes poursuivis“. Cela reflète le principe général de proportionnalité : la mesure doit être appropriée et nécessaire pour atteindre l'objectif légitime. Et elle ne doit pas porter une atteinte disproportionnée aux droits des personnes concernées.
Les questions clés de cette étape sont les suivantes : Ces données concrètes sont-elles vraiment nécessaires à l'objectif poursuivi ? Et si c'est le cas, n'existe-t-il pas un moyen plus léger de réaliser l'intérêt légitime de manière aussi efficace ? Le texte de la directive RGPD ainsi que le principe de Minimisation des données (art. 5, al. 1, let. c RGPD) donnent ici la direction à suivre : Seules les données adéquates, pertinentes et absolument nécessaires peuvent être traitées. S'il existe un moyen tout aussi efficace, mais plus doux pour les personnes concernées, c'est celui-ci qui doit être choisi. Des exemples de moyens plus doux peuvent être une Anonymisation ou Pseudonymisation des données, l'utilisation de données de test synthétiques au lieu de données à caractère personnel réelles ou l'évaluation limitée d'échantillons au lieu d'une enquête complète.
Un autre élément de la Nécessité est la limitation de l'étendue des TraitementL'action prévue doit être aussi limitée et ciblée que possible. Concrètement, cela signifie que l'étendue des données, le groupe de personnes et la durée de l'action doivent être limités. Traitement doivent être réduites au minimum nécessaire. Il convient en outre de prêter une attention particulière à la durée de stockage : Données personnelles ne peuvent être conservées que le temps nécessaire à la réalisation de l'objectif poursuivi. Un Concept d'effacement avec des délais définis est indispensable. Une fois la finalité atteinte, il existe une obligation de suppression (art. 17 al. 1 let. a RGPD; (considérant 39). Exemple: Sur Vidéosurveillance d'un site d'entreprise pourrait Nécessité être limitée par le fait que les enregistrements sont automatiquement écrasés après une courte période (par exemple 48 heures), à condition qu'aucun événement relevant de la sécurité n'ait été détecté.
L'examen de la nécessité oblige le responsable à Traitement d'un point de vue critique.
7 Questions relatives à la nécessité du traitement
Le traitement est-il absolument nécessaire à la réalisation de l'intérêt ou des moyens moins contraignants peuvent-ils être envisagés ?
Il ne doit pas exister de moyens plus doux et moins intrusifs. Des alternatives doivent être examinées. Exemple : Anonymisation, Pseudonymisation, données synthétiques au lieu de données réelles.
Les données à traiter sont-elles limitées au strict nécessaire ?
Le principe de la Minimisation des données il faut tenir compte de l'art. 5, al. 1, let. c RGPD. Seules les données adéquates, pertinentes et nécessaires au regard de la finalité poursuivie peuvent être traitées. En particulier, les Traitement de données sensibles (art. 9 RGPD) n'est possible que dans des cas exceptionnels strictement réglementés par la loi (art. 9 al. 2 RGPD) est autorisée.
Le nombre de personnes concernées est-il limité au minimum nécessaire pour atteindre l'objectif ?
Exemple : limitation du nombre d'enregistrements, échantillonnage au lieu d'enquêtes exhaustives, Anonymisation.
Le traitement des données est-il unique ou continu ?
En cas d'utilisation continue Traitement doit être Nécessité être présent de manière permanente. Une fois qu'un intérêt légitime a été établi, il ne justifie pas automatiquement une utilisation continue. Traitement de données.
Toutes les étapes de traitement sont-elles nécessaires à la finalité ou certaines étapes peuvent-elles être supprimées ?
Les étapes de traitement doivent être considérées et évaluées individuellement.
Existe-t-il un concept de suppression ? La durée de conservation est-elle définie ?
Données personnelles ne peuvent être conservées qu'aussi longtemps qu'elles sont nécessaires à la finalité prévue (consid. 39 et art. 17 al. 1 let. a RGPD). Après la disparition de la finalité, il existe en principe une obligation de suppression. En revanche, il existe des délais de conservation légaux découlant par exemple du code de commerce (HGB), du code fiscal (AO), de la loi sur l'impôt sur le revenu (EStG), du droit des assurances sociales ou du code du commerce. Pour chaque catégorie de données, la durée de conservation doit être documentée et des processus de suppression automatisés doivent être mis en place.
Existe-t-il un aperçu des flux de données existants et prévus ?
Le flux de données doit également être Troisième être compréhensible et transparent. Un diagramme de flux de données sert à sa propre illustration ainsi qu'à l'obligation de rendre compte et à l'illustration vis-à-vis de la direction, des clients, des personnes concernées, des autorités de surveillance, etc.
Mise en balance des intérêts : Les intérêts des personnes concernées sont-ils prépondérants ?
Ce n'est que lorsqu'un intérêt légitime a été identifié et que la mesure a été qualifiée de nécessaire à cet effet que l'on parvient à la mise en balance décisive selon l'article 6, paragraphe 1, lettre f, demi-phrase 2. RGPDles intérêts, les droits fondamentaux et les libertés de la personne concernée prévalent-ils sur les intérêts du responsable du traitement ? Ce troisième L'étape de contrôle garantit que, même en cas d'objectifs légitimes et de traitement nécessaire des données, il n'est pas porté atteinte de manière disproportionnée aux intérêts légitimes des personnes concernées. Il s'agit d'une appréciation globale de toutes les circonstances du cas d'espèce. La première phrase du considérant 47 souligne qu'à cet égard, il convient avant tout de tenir compte des attentes raisonnables de la personne concernée sur la base de sa relation avec le responsable du traitement. En conclusion, la Traitement ne peut avoir lieu que si la balance ne penche pas en faveur des personnes concernées. Dans le cas contraire, la Traitement illégitime.
La jurisprudence (en particulier la CJCE et les tribunaux nationaux) et les autorités de contrôle ont développé de nombreux critères qui sont pris en compte dans la mise en balance des intérêts. Une évaluation globale est effectuée sur la base de ces critères. Aucun critère n'est décisif à lui seul, il faut plutôt procéder à une mise en balance globale des intérêts. Les intérêts légitimes du responsable du traitement sont comparés aux préjudices subis par les personnes concernées. En fin de compte, cet examen s'apparente à un contrôle de proportionnalité au sens strict (mise en balance de la gravité de l'ingérence et de l'importance de la finalité). Le considérant 47 limite le fait que les autorités publiques ne devraient pas se baser sur l'article 6, paragraphe 1, point f), lorsqu'il s'agit de l'accomplissement de leurs missions publiques. Pour le reste, plus l'intérêt est important et plus le poids de l'ingérence est faible, plus l'intérêt du responsable du traitement est susceptible de prévaloir.
Conseil de lecture : Évaluation intelligente de l'impact sur la protection des données dans Ailance
Droits, libertés et intérêts fondamentaux des personnes concernées
Quels sont les droits fondamentaux des personnes concernées ?
Droit à Vie privée, Les droits fondamentaux tels que la liberté d'expression, la protection des données, la non-discrimination, la liberté et la sécurité, la liberté d'expression et d'information, la liberté de pensée, de conscience et de religion, la liberté de réunion et d'association, l'interdiction de la discrimination, le droit de propriété ou le droit à l'intégrité physique et mentale, entre autres.
Les libertés fondamentales des personnes concernées sont-elles affectées ?
Il s'agit notamment de la libre circulation des marchandises, de la libre circulation des travailleurs, de la liberté d'établissement, de la libre prestation de services, de la libre circulation des capitaux et de la libre circulation des paiements, conformément au TFUE.
Outre les droits et libertés fondamentaux, les „intérêts“ des personnes concernées sont-ils également pris en compte ?
Il s'agit de tous les intérêts qui peuvent être affectés par la mesure en question. Traitement pourraient être affectées.
- Intérêts financiers : par exemple, protection contre les effets sur les investissements, les possibilités de gagner sa vie, la prévoyance vieillesse, les évaluations de solvabilité et la couverture d'assurance.
- Intérêts sociaux : par ex. protection de la sphère sociale, atteinte à la réputation, discrimination, prises de contact indésirables
- Intérêts personnels : par exemple, protection de l'intimité et de la vie privée. Vie privée par des traitements de données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne
Type de données à caractère personnel
Quel type de données doit être traité ?
En quelle qualité les personnes sont-elles concernées ? Exemple : les personnes concernées : En leur qualité personnelle ou professionnelle.
S'agit-il de catégories particulières de données à caractère personnel (article 9 du RGPD) ?
Ces données sensibles comprennent notamment
- l'origine ethnique et la race
- opinions politiques
- les convictions religieuses ou philosophiques
- Appartenance à un syndicat
- données génétiques et biométriques (par exemple, empreintes digitales)
- Données de santé
- Données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne
Si ces données sont traitées, les intérêts éventuels des personnes concernées acquièrent un poids fondamentalement élevé dans la mise en balance. En outre, les exigences de l'article 9, paragraphe 2, doivent être respectées. RGPD doivent être remplies. Même en présence d'une exception au sens de l'art. 9 al. 2 RGPD la pesée des intérêts de l'article 6, paragraphe 1, point f), peut être prise en compte. RGPD peut néanmoins être favorable aux intérêts de la personne concernée (voir CJCE du 21 décembre 2023 (affaire C-667/21)).
S'agit-il de données relatives à des enfants ?
L'intérêt supérieur de l'enfant doit être une considération primordiale dans toutes les mesures concernant les enfants. Tous les droits doivent être pris en compte, et pas seulement les droits relatifs à la protection des données, voir Consid. 38 sur la protection des données RGPD.
S'agit-il de données relatives à des condamnations pénales et à des infractions conformément à l'article 10 du RGPD ?
Ces données (dont fait partie le certificat de bonne conduite) sont également particulièrement dignes de protection. Une Traitement ne devrait avoir lieu que sous le contrôle des autorités ou lorsqu'elle serait autorisée par le droit de l'Union ou le droit national.
S'agit-il de données privées ?
Certaines données sont considérées par les personnes concernées comme particulièrement sensibles ou privées, même si cela n'est pas concrètement mentionné à l'article 9. RGPD ou l'art. 10 RGPD sont mentionnées. Exemple : données financières, de localisation ou familiales.
Attentes raisonnables des personnes concernées (considérant 47, p. 1 du RGPD)
Où et quand les données sont-elles collectées ?
Il y a indice en faveur de la personne concernée lorsque les données sont utilisées dans un but entièrement nouveau, non identifiable ou allant au-delà de la finalité initiale et que, compte tenu des circonstances, la personne ne devait raisonnablement pas s'attendre à ce que les données soient traitées lors de leur collecte (cf. également l'art. 6, al. 4, de la loi sur la protection des données). RGPD).
Comment les données sont-elles collectées ?
Quelles technologies et méthodes sont utilisées ? Ces pratiques sont-elles connues de tous et transparentes pour les personnes concernées ? Exemples : les pratiques : Sondages en ligne, Jeux-concours, le web-scraping.
Comment le traitement des données est-il rendu transparent vis-à-vis des personnes concernées ?
Le site Obligations d'information selon les articles 13 et 14 RGPD doivent être respectées. Ces informations doivent être fournies directement lors de la collecte des données. Dans le cas contraire, la légitimité de la Traitement déjà à l'absence de Transparence.
Existe-t-il une relation avec les personnes concernées ?
Le fait qu'il existe déjà une relation entre la personne concernée et le responsable du traitement augmente la prévisibilité du traitement des données, considérant 47, p. 2, concernant le traitement des données à caractère personnel. RGPD. Exemple concernés La personne est déjà cliente.
Quelle est l'ampleur de la collecte de données et combien de personnes sont concernées ?
Plus le volume de traitement des données est important, plus le risque d'atteinte aux droits des personnes concernées est élevé.
Quels sont les effets négatifs potentiels du traitement sur les personnes concernées ?
Si une Analyse d'impact sur la protection des données ou d'une analyse de seuil ?
Le traitement a-t-il des effets positifs sur les personnes concernées ?
Si la Traitement dans l'intérêt objectif et présumé de la personne concernée. Exemples : les personnes concernées : Gain de temps, avantages financiers.
Les personnes concernées perdent-elles le contrôle de l'utilisation de leurs données personnelles ?
Des mesures de protection sont-elles en place pour minimiser les effets ? Le cas échéant, les personnes concernées peuvent-elles prendre elles-mêmes des mesures de protection ?
Qui traite les données ? Combien de personnes ont-elles accès ?
Quelles sont les qualifications des personnes ou des entreprises qui traitent les données ? Les données sont-elles traitées de manière confidentielle ? Existe-t-il des restrictions d'accès au sens de l'article 32, paragraphe 4 ? RGPD?
Exemples de mise en balance des intérêts
Publicité directe auprès des clients existants :
Une entreprise souhaite utiliser les données clients pour envoyer par courrier Publicité pour des produits similaires. Intérêt : commercialisation efficace (intérêt économique légitime, cons. 47). Données : Nom et adresse. Les données normales ont déjà été collectées dans le cadre de la relation client. NécessitéEnvoi impossible sans ces données ; la solution la moins contraignante serait éventuellement d'envoyer les données par courrier électronique. Consentement, Mais la loi reconnaît à l'entreprise un intérêt légitime dans le cas de la prospection directe des clients existants. Mise en balance des intérêts : En raison de la relation commerciale, les clients s'attendent à recevoir de temps à autre des informations sur la société. Publicité et l'intervention se limite à une publicité par courrier modérée. De plus, une possibilité d'opt-out est clairement offerte. Résultat : en règle générale, l'intérêt de l'entreprise prévaut ici, la Traitement est autorisé.
Vidéosurveillance d'un magasin :
Un gérant de magasin installe des caméras de surveillance dans l'espace de vente afin de prévenir les vols. Intérêt en jeu : Protection de la propriété, sécurité des employés et des clients (intérêt légitime). données : Enregistrement vidéo de toutes les personnes présentes dans le magasin (potentiellement de nombreuses Personnes concernées, (par exemple, les données relatives à la santé, les données comportementales en partie sensibles ; le cas échéant, également les employés = besoins de protection particuliers selon la jurisprudence de la Cour constitutionnelle allemande dans les relations de travail). NécessitéDes alternatives telles que davantage de personnel ou des étiquettes de sécurité pourraient-elles suffire ? Si non, est-ce que Vidéosurveillance en principe approprié en dernier recours. Mise en balance des intérêts : Il convient ici de procéder à un examen minutieux : La mesure porte atteinte au droit de Vie privée de la clientèle. Atténuation par Transparence (panneaux d'information), des angles de caméra limités (pas de surveillance de zones privées comme les toilettes) et une courte durée de conservation sont importants. Si le magasin est situé dans une zone à haut risque de vol et que la surveillance a lieu pendant les heures d'ouverture, l'intérêt de l'exploitant (protection contre des dommages importants) pourrait tout juste l'emporter sur l'intérêt des clients à ne pas être surveillés.. A condition qu'une solution moins intrusive ne soit pas possible. Mais si l'on filmait en permanence sans indication ou si l'on surveillait également des zones qui n'ont pas besoin d'être surveillées, cela ne serait pas possible. Vie privée (par exemple, les vestiaires), les Droits des personnes concernées l'emportent clairement et que les Traitement serait inadmissible. Du point de vue du droit du travail, les attentes des employés sont également importantes : Une surveillance dissimulée serait disproportionnée, une caméra ouverte avec l'accord du comité d'entreprise serait éventuellement autorisée s'il n'y a pas de stress permanent/de pression de surveillance. Les tribunaux (y compris la Cour constitutionnelle fédérale) exigent ici une stricte proportionnalité et le respect des droits des employés.
L'intérêt légitime comme base juridique
De tels exemples montrent clairement que la mise en balance des intérêts nécessite une évaluation individuelle. De petits changements dans les faits (autre volume de données, autre contexte) peuvent modifier le résultat. C'est pourquoi la mise en balance doit être effectuée de manière concrète et documentée par activité de traitement. Si les droits des personnes concernées sont considérablement affectés, la limite de l'admissible est atteinte. Dans ce cas, les Droits des personnes concernées et l'article 6, paragraphe 1, point f) RGPD n'offre aucune base de légitimation.
Inversement, si le test en trois étapes est effectué et documenté avec soin, l'article 6, paragraphe 1, point f), peut être appliqué. RGPD fournir une base juridique solide dans de nombreuses situations.
Source : Catalogue de questions sur l'équilibre des intérêts selon le RGPD du HmbBfDI
Mettre en œuvre des traitements de manière intelligente avec Ailance
Vous souhaitez passer l'examen en trois étapes conformément à l'article 6, paragraphe 1, point f). RGPD non seulement les mettre en œuvre correctement, mais aussi de manière démontrable et évolutive. Y compris des Documentation, un flux de travail de révision et une réévaluation régulière ? Ailance vous aide à mettre en place des processus pour Transparence, Opposition (Art. 21 RGPD) et Suppression (Art. 17 RGPD) de manière efficace.
Organiser une démo d'Ailance et apprenez comment intérêts légitimes documenter de manière sûre en termes d'audit et renforcer durablement votre conformité à la protection des données.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French