Protection des données personnelles : nouveau projet de lignes directrices du CEPD sur le traitement des données à caractère personnel fondé sur un « intérêt légitime »

Publié par le dans | Consulté 42 Fois

par Lionel-Camus LOKOSSOU, étudiant du Master 2 Droit des communications électroniques

Tout traitement de données à caractère personnel doit être fondé sur l’un des six bases juridiques posées par le Règlement Général sur la Protection des Données (RGPD) en son article 6.  Parmi ces bases, celle de « l’intérêt légitime » (art. 6, § 1, f du RGPD) requiert une attention particulière car son invocation est subordonnée à un certain nombre de conditions et à un formalisme strict.

Mais dans la pratique, on peut constater que des organismes fondent des traitements de données à caractère personnel sur l’intérêt légitime sans pour autant se conformer aux exigences légales en la matière ou se rabattent sur cette base légale « par défaut », en dernier ressort, lorsqu’ils ne peuvent fonder leurs traitements sur aucune des autres bases prévues par l’article 6 susvisé.

Cet état de chose est peut-être occasionné par une mauvaise compréhension ou interprétation de l’article 6, paragraphe 1, point f), du RGPD.

Pour mieux éclairer les organismes traitant des données personnelles sur les conditions et le formalisme à respecter pour fonder valablement un traitement sur l’intérêt légitime,le Comité Européen de la Protection des Données (CEPD) a adopté lors de sa dernière session plénière, le 8 octobre 2024 à Bruxelles, un projet de lignes directrices sur le traitement des données à caractère personnel fondé sur un intérêt légitime.

Ces lignes directives ont vocation à apporter des précisons sur les critères précis devant être remplis pour justifier un traitement de données à caractère personnel par l’intérêt légitime, tout en tenant compte de l’arrêt du 4 octobre 2024 de la Cour de justice de l’Union Européenne  (CJUE), affaire C-621/22 sur le même sujet. Elles font l’objet d’une consultation publique jusqu’au mois de novembre.

A la lumière de ces lignes directrices, il apparaît que le responsable de traitement qui entend se prévaloir de cette base de licéité pour traiter des données personnelles devra en amont obligatoirement vérifier et documenter s’il remplit les trois conditions cumulatives ci-après :

  • La poursuite d’un intérêt à caractère strictement « légitime » par le responsable du traitement ou par un tiers ;
  • La nécessité de mettre en œuvre un traitement des données à caractère personnel pour de la poursuite de l’intérêt légitime ;
  • L’intérêt légitime ne prévaut pas sur les droits et libertés fondamentaux des personnes concernées et l’intérêt légitime poursuivi.

La poursuite d’un intérêt à caractère strictement « légitime » par le responsable du traitement ou par un tiers

Tous les intérêts ne sont pas de nature à permettre à un responsable du traitement d’invoquer l’intérêt légitime comme base juridique d’une opération de traitement de données à caractère personnel. Seuls les intérêts strictement légitimes peuvent être invoqués. Encore, faut-il savoir quel intérêt peut être qualifié de « légitime ».

Dans ses lignes directrices, le CEPD explicite que l’intérêt poursuivi doit non seulement être licite et réel mais aussi articulé de manière suffisamment claire et précise.

En effet, à cette première étape de l’analyse de l’invocabilité de l’intérêt légitime, le responsable de traitement devra s’assurer si l’intérêt poursuivi est conforme au droit de l’Union Européen et de ses États membres. Si ce critère de licéité est rempli, il devra ensuite exposer l’intérêt avec la plus grande clarté et précision afin de permettre sa mise en balance sans équivoque avec les droits et libertés fondamentaux des personnes concernées. Enfin, il devra s’assurer que l’intérêt est existant, c’est-à-dire non fantaisiste, « non fictif », présent et effectif la date de la mise en œuvre de l’opération de traitement comme le rappelle la CJUE dans un arrêt du 11 décembre 2019, affaire C-708/18.

En outre, lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), du RGPD, le responsable du traitement a l’obligation de renseigner les personnes concernées sur les intérêt légitimes poursuivis.

Pour le moment, il n’existe pas une liste complète d’intérêts qui peuvent être considérés comme légitimes. Toutefois, en se référant à la jurisprudence et au RGPD, on peut par exemple regarder comme « légitimes » des intérêts tels que la sécurité du réseau et des informations, la prévention de la fraude, les opérations de prospection commerciale auprès de clients d’une société, l’accès à l’information en ligne, la garantie du fonctionnement continu des sites web accessibles au public, l’obtention des informations personnelles d’une personne ayant endommagé la propriété d’une autre aux fins de poursuite en dommage et intérêt, la protection de la propriété, de la santé et de la vie des copropriétaires d’un immeuble, l’amélioration des produits et l’évaluation de la solvabilité des personnes etc. 

Une fois cette conditions remplie, il faudra remplir obligatoirement deux les autres.

L’évaluation de la « nécessité » de mettre en œuvre un traitement des données à caractère personnel pour la poursuite de l’intérêt légitime

En plus de justifier d’un intérêt légitime au regard du droit, le responsable du traitement devra remplir une seconde condition qui est celle d’établir que le traitement envisagé est « nécessaire » à la poursuite de l’intérêt légitime. Il doit vérifier et s’assurer qu’il n’existe pas d’autres moyens moins intrusifs vis-à-vis de la vie privée des personnes concernées pouvant permettre d’atteindre efficacement l’intérêt légitime poursuivi.

Il doit également tenir compte des principes énoncés à l’article 5, paragraphe 1, du RGPD notamment celui de la « minimisation des données » qui veut que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », ainsi que de la jurisprudence de la CJUE qui énonce que le traitement ne peut intervenir que « que dans la mesure strictement nécessaire » à l’atteinte de l’intérêt légitime poursuivi (CJUE, arrêt du 7 décembre 2023, affaires jointes C-26/22 et C-64/22, SCHUFA Holding (Libération de reliquat de dette), point 88 ; CJUE, arrêt du 4 juillet 2023, affaire C-252/21, Meta c. Bundeskartellamt  point. 126)

Au cas où il existerait d’autres moyens alternatives susceptibles d’atteindre l’intérêt légitime poursuivi, le traitement ne peut être réalisé sur la base de l’article 6, paragraphe 1, point f), du RGPD.

Si ces deux conditions évoquées peut être facilement remplies, la troisième semble plus complexe.

Sur la non primauté de l’intérêt légitime sur les droits et libertés fondamentaux des personnes concernées et l’intérêt légitime poursuivi.

L’analyse de cette troisième condition paraît dans la pratique plus subtile. Elle implique que le responsable du traitement procède à un « test de mise en balance » ou « exercice de mise en balance » des droits et libertés fondamentaux des personnes concernées et de l’intérêt légitime poursuivi.  Plus concrètement, il doit évaluer si l’intérêt légitime poursuivi n’empiète pas sur les droits et intérêts des personnes concernées. Le but ici n’étant pas d’éviter absolument tout impact négatif sur les droits en cause, mais d’éviter que ces impacts soient disproportionnés. Pour réaliser cet « exercice de mise en balance », plusieurs éléments sont à prendre en compte.

D’abord, lerResponsable du traitement doit tenir compte de la nature et de la source de l’intérêt légitime en cause. Il doit ensuite énumérer les différentes conséquences ou incidences que peut avoir le traitement envisagé sur les personnes concernées, que ce soit sur leur vie privée ou sur leurs autres droits fondamentaux. Aussi, doit-il tenir compte des attentes raisonnables de ces dernières. Enfin, il doit obligatoirement identifier des moyens susceptibles d’atténuer les conséquences identifiées.

Le CEDP donne des indices que le responsable doit prendre en compte pour évaluer les conséquences du traitement sur les personnes concernées. En effet, il l’exhorte à tenir compte de la production éventuelle d’effets juridiques sur les personnes concernées, de l’exclusion ou de la discrimination, de  la diffamation ou de tout risque d’atteinte à la réputation, au pouvoir de négociation ou à l’autonomie de la personne concernée, des pertes financières que pourrait subir la personne concernée, de l’exclusion d’un service pour lequel il n’existe pas d’alternative réelle, et des risques pour la liberté, la sécurité, l’intégrité physique et psychique ou la vie des personnes physiques que peuvent engendrer le traitement envisagé.

Un traitement de donnée à caractère personnel ne peut être fondé sur l’intérêt légitime que si l’intérêt est réellement légitime au regard du droit, si un tel traitement est nécessaire à l’atteinte de l’intérêt légitime poursuivi et si l’intérêt légitime en question ne heurte pas les libertés et droits fondamentaux des personnes concernées. Même la réunion de ces trois conditions cumulatives parait difficile et implique un processus assez rigoureux, les organismes et les responsables de traitement sont appelés à s’y conformer.

Sources:

  • Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR Version 1.0 Adopted on 8 October 2024
  • RGPD, Article 6
  • L’intérêt légitime : comment fonder un traitement sur cette base légale 02 décembre 2019, CNIL