Le CEPD soumet à consultation, jusqu’au 20 novembre 2024, des lignes directrices sur les traitements de données personnelles basés sur l’intérêt légitime
Les lignes directrices du Comité européen de la protection des données (CEDP) visent à fournir des orientations pratiques aux responsables de traitement souhaitant invoquer l’intérêt légitime comme base de licéité au sens de l’article 6 (1) (f) du RGPD.
Pour rappel, l’intérêt légitime constitue l’une des six (6) bases de licéité permettant au responsable d’un traitement de légitimer un traitement de données à caractère personnel. Bien que le RGPD ne procède à aucune hiérarchisation de ces bases, le CEPD rappelle qu’il appartient, en principe, au responsable du traitement de déterminer la base de licéité applicable au traitement qu’il entend réaliser.
Le Comité précise en outre que le recours à l’article 6 (1) (f) du RGPD ne peut être vu par le responsable du traitement comme une option privilégiée, ni comme une option de dernier recours, afin de légitimer tous les traitements de données ne relevant pas des cinq autres bases de licéité.
Les objectifs affichés par le CEPD étant :
- D’exposer les éléments à prendre en considération lors de l’étude de l’applicabilité de l’article 6 (1) (f) du RGPD ainsi que la méthodologie de la balance des intérêts.
- De présenter les relations entre le recours à l’intérêt légitime et l’exercice des droits par les personnes concernées.
- D’illustrer certains cas d’application de l’article 6 (1) (f) du RGPD.
Concernant les éléments à prendre en considération lors de l’étude de l’applicabilité de l’article 6 (1) (f) du RGPD
Le CEPD rappelle que la balance des intérêts doit être réalisée préalablement à la mise en œuvre d’un traitement et remplir trois conditions cumulatives. Cette dernière doit être opérée avec l’implication du Délégué à la protection des données (si désigné) et documentée par le responsable de traitement conformément à son obligation d’accountability.
Condition 1 : La poursuite d’un intérêt légitime par le responsable du traitement
Pour être considéré comme « légitime », l’intérêt doit être légal, clair et présent, et non hypothétique. Le CEPD fournit des exemples d’intérêts considérés légitimes par le RGPD et la CJUE tels que : l’accès à l’information en ligne ou encore ; assurer le fonctionnement continu d’un siteweb accessible au public.
En règle générale, l’intérêt poursuivi doit être lié à l’activité principale du responsable du traitement (ex : la CJUE a considéré que, bien que le partage d’information avec les autorités compétentes en vue de prévenir, détecter et de poursuivre des infractions pénales constitue un intérêt légitime en tant que tel, il n’est toutefois pas susceptible de constituer un intérêt légitime poursuivi par un responsable dont l’activité est essentiellement de nature économique et commerciale – CJUE, Case C-252/21, Meta v. Bunderskartellamt, 4 juillet 2024).
Condition 2 : L’étude de la nécessité du traitement pour l’intérêt légitime énoncé
La nécessité du traitement doit être démontrée : l’évaluation du caractère « nécessaire » implique de vérifier si, en pratique, les intérêts légitimes poursuivis ne peuvent être raisonnablement atteints en recourant à d’autres moyens moins restrictifs pour les droits et libertés fondamentales des personnes concernées.
Dès lors, l’existence de solutions alternatives moins attentatoires, suffit selon le CEPD à exclure le caractère « nécessaire » du traitement.
Condition 3 : L’intérêt, les libertés et droits fondamentaux des personnes concernées ne doivent pas prévaloir sur les intérêts légitimes du responsable du traitement
Une fois la légitimité et la nécessité du traitement établies, le responsable du traitement doit procéder à une balance des intérêts. L’objectif étant d’évaluer si les droits et libertés des personnes concernées ne sont pas compromis par le traitement.
Pour ce faire, le responsable du traitement doit identifier et décrire :
- Les intérêts, droits et libertés fondamentales des personnes concernées.
- L’impact du traitement sur les personnes concernées, en ce compris :
- La nature des données traitées (données sensibles, données financières, données géolocalisées).
- Le contexte dans lequel les données sont traitées (par exemple, données d’employés, données de clients).
- Les conséquences possibles du traitement (discrimination, exclusion de services, préjudices financiers ou moraux).
- Les attentes raisonnables des personnes concernées lors du traitement de leurs données personnelles.
- Une fois la balance des intérêts finalisée :
- Si les intérêts, droits et libertés des personnes concernées priment sur l’intérêt légitimement poursuivi par le responsable du traitement, il convient d’introduire des garanties additionnelles qui vont au-delà des garanties requises par le RGPD (ex: en permettant aux personnes d’exercer leur droit à la portabilité bien que le traitement se fonde sur l’intérêt légitime).
Concernant les relations entre l’article 6(1)(f) et les droits des personnes concernées
Le CEPD rappelle que le respect des droits des personnes concernées doit être garanti même lorsque le traitement est basé sur l’article 6(1)(f) du RGPD.
Les cas d’applications de l’article 6(1)(f)
Enfin, le Comité propose des exemples concrets de traitements basés sur l’article 6(1)(f) dans divers contextes tels que le traitement en vue de la prévention de la fraude (i), ou encore les traitements visant à de la prospection directe (ii) :
(i) Le traitement à des fins de prévention de la fraude : Ce traitement peut, selon le considérant 47 du RGPD, reposer sur l’intérêt légitime du responsable du traitement.
Ce dernier peut effectivement avoir un intérêt commercial légitime à s’assurer que ses clients ne détourneront pas l’usage de ses services à des fins délictuelles. L’intérêt du responsable du traitement pourra prévaloir sur les droits et libertés des personnes concernées uniquement dans le cas où le responsable traite des données exactes et nécessaires à la détermination du risque qu’un de ses clients soit victime d’une fraude.
Le traitement devra être “strictement limité” à la poursuite de la finalité énoncée.
(ii)Le traitement visant à de la prospection directe :
Le CEPD donne des précisions sur les traitements suivants :
Concernant les traitements considérés comme les plus intrusifs (ex : ceux impliquant le profilage d’une personne sur de multiples supports/appareils), le niveau d’intrusion pour les droits et libertés des personnes concernées devra être pris en compte dans la réalisation de la balance des intérêts.
A l’inverse, le CEPD considère qu’il sera plus facile de justifier du choix de l’intérêt légitime pour des traitements marketing moins intrusifs (ex : si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou services similaires fournis par la même entreprise).