Appelez-nous au Mission RGPD, le logiciel RGPD de référence 04 28 70 91 81

L’intérêt légitime, c’est une notion qui vous parle ? Pour mieux la comprendre, lisez la suite de notre article. Ici, nous nous focalisons sur l’intérêt légitime comme entendu au sens du Règlement général sur la protection des données (RGPD). 

Pour commencer, définissions séparément les termes « intérêt » et « légitime ». Un intérêt, parmi les sens qu’on lui donne dans le langage commun, c’est ce qui apporte un avantage à une personne. Une personne peut avoir un intérêt pour quelque chose, car cette chose est susceptible d’engendrer un résultat positif pour elle. Par exemple, un professionnel peut avoir intérêt à être présent dans un salon car cela lui apporte de la visibilité et peut lui permettre de développer son activité commerciale. 

Et la légitimité dans tout ça ? Ce qui est légitime c’est ce qui est dit conforme au droit, à la raison, à l’équité ou à la morale. Ce qui est légitime doit être justifié (par un texte de loi, un fait scientifique, la coutume, etc.). Par exemple, la légitimité du Président de la République, en France, réside dans son élection au suffrage universel direct par les Français (article 6 de la Constitution française du 4 octobre 1958). 

C’est plus clair ? Et si on passait à la base légale « intérêt légitime » qu’on trouve dans le RGPD ? Asseyez-vous confortablement, on vous explique tout en 5 min ! ?‍♂️ 

Les 6 bases légales prévues par le RGPD 

L’intérêt légitime est la dernière des 6 bases légales prévues par le RGPD. Nous avons clôturé lundi dernier notre saison d’1 minute pour tout comprendre sur le thème des bases légales. Retrouvez l’intégralité de la saison sur LinkedIn et sur notre site internet. Suivez-nous sur LinkedIn pour accéder à nos actualités et écouter nos prochaines saisons d’1 minute pour tout comprendre ! 

Choisir sa base légale est obligatoire pour que le traitement soit licite. Cela détermine également les droits dont vont pouvoir se prévaloir les personnes concernées pour le traitement considéré. Les droits ne seront pas les mêmes en fonction de la base choisie. D’après l’article 6 du RGPD il existe 6 bases légales : ?

À l’occasion de nos épisodes d’1 minute pour tout comprendre sur notre page Linkedin et de nos articles de blog, nous avons présenté et expliqué en détails chacune de ces bases légales. N’hésitez pas à faire un tour sur notre blog pour tout comprendre sur les autres bases légales. ?‍?

Comprendre la base légale « intérêt légitime » ?

L’intérêt légitime est l’une des bases légales prévues par le RGPD. Il faut être vigilant avec l’intérêt légitime, cette base légale a souvent tendance à servir de fourre-tout. Ce n’est pas une base légale à utiliser systématiquement par facilité. Il faut évaluer au préalable si une autre base légale est applicable. 

L’intérêt du responsable de traitement se distingue de la finalité du traitement. Pour rappel la finalité du traitement de données c’est l’objet du traitement, c’est répondre à la question « Pourquoi je traite ces données ? ». Tandis que l’intérêt, comme expliqué plus tôt, c’est la recherche d’un bénéfice pour le responsable de traitement. Le G29 donnait en 2014 un exemple pour illustrer ce propos dans son avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE. Selon cet exemple « une entreprise peut avoir un intérêt à préserver la santé et la sécurité du personnel qui travaille dans sa centrale nucléaire. Pour ce faire, l’entreprise peut avoir comme finalité d’appliquer des procédures de contrôle d’accès spécifiques qui justifient le traitement de certaines données à caractère personnel afin de contribuer à protéger la santé et la sécurité des employés ». 

Pour choisir comme base légale l’intérêt légitime il faut étudier ses conditions d’applicabilité. 

Dans quelles conditions choisir l’intérêt légitime comme base légale ?  

L’utilisation de l’intérêt légitime comme base juridique du traitement est soumise à 3 conditions :

Critère préalable : Identifier le porteur de l’intérêt légitime ?

L’intérêt peut être celui du responsable de traitement ou d’un tiers à qui les données sont communiquées. L’autorité de protection des données (équivalent de la CNIL en Belgique) donne l’exemple suivant : « un tiers qui mène une recherche historique/scientifique et à cet effet, il a besoin d’un accès à une banque de données contenant des données à caractère personnel »

D’autre part, cette base légale n’est pas applicable aux autorités publiques pour les traitements nécessaires à l’exercice de leurs missions. Mais il existe des exceptions à ce principe ; certains traitements de données peuvent être fondés sur l’intérêt légitime par les autorités publiques dès lors qu’ils sont détachés de l’exercice de leurs missions. La CNIL tire l’exemple suivant de ses propres activités de traitement : « Les traitements nécessaires à la gestion de l’action sociale mise en œuvre au sein de la CNIL ou à la dématérialisation de certaines procédures en matière de ressources humaines ne peuvent pas se fonder sur une obligation légale, les textes applicables en la matière n’imposant pas nécessairement la mise en œuvre de traitements de données. Dans la mesure où ils ne portent pas atteinte aux droits des agents de la CNIL et où ils sont sans rapport direct avec les missions de la CNIL, ils peuvent se fonder sur un intérêt légitime poursuivi par l’institution. » 

1er critère : L’intérêt poursuivi doit être légitime ?

Il n’existe pas de liste exhaustive des intérêts considérés comme légitimes. Cependant, le RGPD et la jurisprudence donnent quelques exemples comme : 

  • Les traitements nécessaires aux opérations de prospection commerciale auprès des clients d’une société, 
  • Les traitements visant à assurer la sécurité du réseau et des informations, 
  • Etc..

L’intérêt peut être présumé légitime à condition de remplir les trois critères suivants : 

  • L’intérêt est manifestement licite au regard du droit, 
  • Il est déterminé de façon suffisamment claire et précise, 
  • Il est réel et présent pour l’organisme concerné et non fictif. 

Par exemple la prospection commerciale en btob présente un intérêt pour le responsable de traitement. Celui-ci réalise un traitement de données personnelles, comme le nom et prénom du professionnel à qui l’entreprise souhaite s’adresser, le poste qu’il occupe et la société pour laquelle il travaille. Le responsable du traitement pourra fonder ce traitement de données sur l’intérêt légitime en exposant, de manière claire et précise, l’intérêt que représente ce traitement pour lui. Ce traitement peut lui permettre de prendre contact avec des professionnels susceptibles d’être intéressés par les produits ou services qu’il propose. Cette action de prospection a pour but de développer l’activité commerciale du responsable de traitements. Il a un réel intérêt à prospecter de nouveaux professionnels pour qu’ils deviennent clients. D’autre part la prospection, si elle est réalisée conformément à la loi et au RGPD est une activité licite.  

2e critère : Le traitement doit être nécessaire ?

Le traitement doit être nécessaire pour atteindre l’objectif poursuivi par l’organisation qui le met en œuvre. Le critère de nécessité est applicable à tous les traitements de données personnelles, quelle que soit leur base légale. Le RGPD pose comme obligation que le traitement soit nécessaire pour atteindre une finalité prédéfinie. Cela signifie que le responsable du traitement ne puisse pas atteindre le but poursuivi sans opérer le traitement.  

La manière dont le traitement est opéré entre également en compte dans l’évaluation du respect de ce critère. C’est-à-dire que le responsable de traitements doit choisir la manière de traiter les données la plus adaptée et la moins intrusive pour la personne. Il doit déterminer au préalable s’il n’existe pas un autre moyen d’opérer le traitement en assurant une meilleure protection de la vie privée. 

Pour répondre à son obligation d’accountability, le responsable de traitements doit démontrer que son choix de base légale est valable. Cela se traduit par une documentation détaillée des modalités du traitement, et notamment de justifier son intérêt légitime à exercer le traitement. En ce sens, il doit mettre à jour régulièrement sa documentation. 

3e critère : L’intérêt du responsable de traitement doit être proportionné aux intérêts ou droits fondamentaux des personnes concernées  ?

L’enjeu du choix de cette base légale réside dans la mise en balance de l’intérêt du responsable de traitement face aux intérêts ou droits fondamentaux de la personne concernée. Le traitement de données et les moyens mis en œuvre pour l’opérer, ne doivent pas porter atteinte aux intérêts et aux droits des personnes. 

Concrètement le responsable de traitement doit évaluer : 

  • Les conséquences potentielles du traitement sur les intérêts et droits des personnes. Il doit envisager l’impact du traitement notamment sur la vie privée mais aussi sur les autres droits (liberté d’expression, d’information, de conscience, etc.) et intérêts (surveillance ou suivi des activités, exclusion de l’accès à des services, etc.) qui entrent en considération pour assurer la protection des données. 
  • Les « attentes raisonnables » des personnes. C’est un élément indispensable à prendre en compte pour réaliser la mise en balance des intérêts du responsable de traitement et ceux des personnes. Par exemple, un directeur des ressources humaines d’une société peut vraisemblablement s’attendre à recevoir un mail de prospection d’un cabinet de recrutement. 
  • Si des mesures compensatoires ou additionnelles doivent être mises en place pour limiter les impacts du traitement sur les intérêts et droits des personnes. Ces garanties doivent permettre de prévenir toute incidence indésirable pour les personnes concernées.  

Il peut s’agir de mesures techniques et organisationnelles permettant : 

  • La minimisation des données (par exemple la limitation stricte du volume de données collectées, la suppression immédiate des données après utilisation),  
  • L’anonymisation des données, 
  • Que les données ne puissent pas être utilisées pour permettre la prise de décisions ou d’autres mesures à l’endroit des individus, 
  • Une transparence accrue avec une information des personnes renforcée, 
  • D’accentuer l’exercice des droits des personnes et notamment d’opposition.  

Mission RGPD et l’intérêt public

Vous avez du mal à savoir quelle base légale choisir ? Le tmeps vous manque pour la gestion de votre mise en conformité ? Vous êtes perdu ? 

✅ Avec Mission RGPD pas de panique, vous documentez tous les éléments de votre conformité sur une même plateforme. Renseignez la base légale de vos traitements sur chacune des fiches de votre registre, et détaillez l’intérêt légitime sur lequel vous fondez votre traitement. 

Ne perdez plus de temps, c’est si simple ! 

`
Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.