La notion d’intérêts légitimes et le traitement des données personnelles

Il est utile de rappeler à titre préalable que le recueil du consentement d’une personne afin de traiter ses données personnelles de manière licite n’est pas systématiquement requis, contrairement à ce que pourrait laisser croire le beau principe suivant lequel « toute personne a droit à la protection des données à caractère personnel la concernant » comme il est rappelé au premier considérant du Règlement Général sur la Protection des Données (RGPD - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

De fait, le consentement ne constitue que l’une des six bases juridiques – autrement dit les bases légales - d’un traitement licite visées à l’article 6 du RGPD, article qui énonce que tout traitement sera licite sous réserve qu’il respecte l’une des six conditions suivantes, à savoir :

• l’obtention du « consentement » de la personne concernée (article 6.1.a),

• qu’il soit nécessaire « à l’exécution d’un contrat » (article 6.1.b),

• qu’il soit nécessaire « au respect d’une obligation légale » (article 6.1.c),

• qu’il nécessaire « à la sauvegarde des intérêts vitaux » (article 6.1.d),bnf

• qu’il soit nécessaire « à l’exécution d’une mission de service public ou relevant de l’exercice de l’autorité publique » (article 6.1.e),

• ou

• qu’il soit sera nécessaire « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » (article 6.1.f).

Il sera observé que nulle base juridique ne prévaut sur les autres et que le choix de l’une d’elles reposera sur une appréciation qui portera principalement sur la qualité du responsable de traitement, des finalités de ce traitement et de la nature des données personnelles concernées.

La base juridique des « intérêt légitimes » n’est pas nouvelle puisqu’il y était déjà fait référence dans la directive 95/46 (article 7f) dans une formulation analogue.

Le RGPD – pas plus que la directive 94/46 – ne donne de définition de cette notion, si ce n’est que le traitement ne sera licite que s’il est « nécessaire » pour satisfaire ces intérêts qui doivent être « légitimes », licéité qui n’est pas inconditionnelle, puisqu’elle disparaîtra en cas de prévalence des « intérêts ou libertés et droits fondamentaux de la personne concernée ».

Cette base juridique repose donc sur

• un traitement « nécessaire » : ce qui signifie qu’un traitement moins intrusif n’est pas disponible,

• à la satisfaction des « intérêts » : à savoir des avantages constitutifs d’un bénéfice individuel ou d’un enjeu, d’une finalité collective, qui sont réels puisqu’ils sont « poursuivis par le responsable de traitement ou un tiers »,

• pourvu qu’ils soient « légitimes » : qui seront conformes à la loi et à la justice, et donc licites puisque n’étant pas illégitimes.

étant ajouté que ces intérêts légitimes doivent être supérieurs ou équivalents aux « intérêts ou libertés ou droits fondamentaux » de la personne concernée.

Dans la mesure où les intérêts légitimes retenus comme base juridique du traitement par le responsable de traitement devront être communiqués à la personne concernée (art. 13.1.c du RGPD), ils devront être suffisamment « clairs et précis » (cf. considérant n°41 du RGPD).

Préalablement à la mise en place de son traitement, le responsable devra donc apprécier la validité des « intérêts légitimes » envisagés, et l’équilibre entre ses intérêts et ceux des personnes concernées.

Pour ce faire, il est fait renvoi au considérant n°47 du préambule du RGPD qui indique que « Les intérêts légitimes … peuvent constituer une base juridique pour le traitement » et qui vient préciser que l’équilibre entre les intérêts du responsable du traitement et ceux de la personne concernée doit être apprécié en fonction des « attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement».

Cela signifie en premier lieu qu’il doit exister une forme de relation entre le responsable d’un traitement et la personne concernée et, en second lieu, que ce traitement de ses données personnelles doit être raisonnablement attendu par cette personne.

Par conséquent, le responsable d’un traitement effectué à l’insu d’une personne ou surprenant celle-ci ne pourra valablement se prévaloir de la base juridique des intérêts légitimes (comme le profilage du comportement d’achat du client d’un supermarché qui a accepté de participer à un programme de fidélité).

A notre avis, cette attente « raisonnable » s’applique, tout à la fois, à la nature des données personnelles traitées et au volume de celles-ci, pour estimer le caractère plus ou moins invasif du traitement et le degré de l’atteinte aux « intérêts, libertés et droits fondamentaux » des personnes concernées.

De même, il sera tenu compte de la nature de la relation existant entre le responsable de traitement et la personne concernée, l’appréciation de l’équilibre des intérêts en présence étant liée à l’équilibre de la relation.

Enfin, il appartient, le cas échéant, au responsable du traitement de mettre en place des mesures destinées à compenser d’éventuels déséquilibres, afin de que ce traitement demeure licite (à l’instar notamment du procédé de pseudonymisation des données personnelles ou de l’octroi à la personne concernée d’un droit d’opposition inconditionnel).

Les considérants du RGPD fournissent des illustrations qui indiquent que peuvent constituer un ou des « intérêts légitimes » :

• « l’existence d’une relation pertinente et appropriée » entre un responsable de traitement et une personne concernée qui serait sa « cliente » ou « à son service » ou « la prospection [commerciale] » en ce compris le profilage (cf. considérant n°47),

• la transmission de données personnelles « au sein d’un groupe d’entreprises ou d’établissements affiliés à un organisme central » et ce « à des fins administratives internes » (cf. considérant n°48),

• la garantie de « la sécurité du réseau et des informations » (cf. considérant n°49),

• la transmission « à une autorité compétente » de données relatives à « d’éventuelles infractions pénales ou menaces pour la sécurité publique » (cf. considérant n°50).

Comme l’indique la CNIL dans ses documents de présentations des bases légales d’un traitement, celle fondée sur les intérêts légitimes concerne, en règle générale, « les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte trop importante aux droits et intérêts des personnes concernées ».

Sachant que les six bases juridiques visées à l’article 6 du RGPD ont une même valeur, il appartiendra au responsable de traitement d’apprécier quelle base correspond le mieux au traitement qu’il envisage, en considération de sa qualité, de la nature des données à traiter et des finalités du traitement.

Toute personne concernée aura la faculté de contester les « intérêts légitimes » allégués par le responsable d’un traitement, pour remettre en cause cette base légale, en établissant que ce traitement se caractérise par un déséquilibre des intérêts en présence, au détriment des siens, mais cela peut se révéler assez ardu en pratique.

Cela étant et quand bien même les « intérêts légitimes » du responsable de traitement seraient valablement établis, toute personne concernée pourrait valablement s’opposer au traitement de ses données personnelles dans les conditions définies ci-après.

Tout d’abord, la personne concernée dispose d’un droit inconditionnel de s’opposer au traitement de ses données personnelles à des fins de « prospection » (art. 21 § 2 du RGPD) – la prospection commerciale en l’occurrence - le responsable de traitement ne pouvant contester ce droit:

cn/cnd« Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. »/cnf

Ensuite et pout tout autre traitement, ce droit d’opposition ne pourra être exercé par la personne concernée que « pour des raisons tenant à sa situation particulière » (art. 21 § 1 du RGPD)… et non « pour des craintes d’ordre général » (cf. arrêt du Conseil d’Etat du 18 mars 2019, 10ème - 9ème chambres réunies, n° 406313).

Le responsable de traitement pourra néanmoins poursuivre le traitement à charge pour lui de démontrer l’existence de « motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice » (art. 21 § 1 du RGPD).

Si ces motifs légitimes et impérieux peuvent être assurément constitués par l’exercice de droits en justice, les autres cas de figure restent assez abscons, dans la mesure où il ne peut s’agir d’une mission de service public ou relevant de l’autorité publique, de la sauvegarde des intérêts de la nation, d’une obligation légale ou contractuelle qui constituent, celles-ci constituant des bases légales distinctes.

Théoriquement, ce droit d’opposition ne remet pas en cause la validité générale du traitement, mais celui-ci ne pourra plus être effectué sur les données de la personne qui aura valablement exercé ce droit.

Il est bien évident que le recours au « consentement » ne sera probablement pas la solution qui aura la préférence des responsables de traitement, mais le recours aux « intérêts légitimes » ne doit pas devenir une solution de facilité, étant relevé que l’avantage majeur de l’utilisation des « intérêts légitimes » comme base juridique d’un traitement, réside dans le fait qu’il incombera à la personne concernée de contester le bien fondé de cette base légale, pour remettre en cause le traitement, ce qui exige une démarche active qui dissuadera probablement de nombreuses personnes.