Texte de la question
Mme Blandine Brocard interroge M. le ministre de l'économie et des finances sur la définition de l'intérêt légitime des entreprises à l'aune du règlement général sur la protection des données de l'Union européenne. Celui-ci définit en son article 6 les sept règles qui forment le fondement juridique de la licéité de la collecte de données. Pour qu'un traitement soit licite, il suffit qu'il réponde à une seule de ces sept règles. Si les six premières semblent sans ambiguïté : consentement, nécessité pour l'exécution d'un contrat, respect d'une obligation légale, intérêts vitaux, mission d'intérêt public, le septième point nécessite des précisions. En effet, pour qu'un traitement soit licite, il suffit qu'il soit « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ». Le considérant 47 du règlement donne quelques exemples d'intérêt légitime en citant notamment le traitement à des fins de prospection. L'intérêt économique d'une entreprise pourrait, à lui seul, définir cet « intérêt légitime ». Et, par conséquent, cette règle pourrait rendre licite de facto tout traitement dès lors qu'il est effectué par une entreprise qui poursuit par ce traitement un but lucratif. Elle lui demande donc de l'éclairer sur la définition de l'intérêt légitime et sur les mesures qui peuvent être prises pour que l'intérêt économique du responsable du traitement ne devienne pas un argument de droit qui empêche toute action contre la licéité d'un traitement.
Texte de la réponse
Comme l'indique l'auteur de la question, l'intérêt légitime est une des bases juridiques prévues par le règlement européen n° 2016/679 du 27 avril 2016 établissant le régime général de la protection des données personnelles en Europe - dit RGPD - autorisant la mise en œuvre de traitements de données à caractère personnel. L'intérêt légitime n'est pas défini de façon précise par le RGPD, cependant l'intérêt économique d'une entreprise ne permet pas à lui seul de caractériser un intérêt légitime susceptible d'autoriser un traitement de données à caractère personnel. Plus précisément, la commission nationale de l'informatique et des libertés (CNIL) identifie trois critères pour que l'intérêt légitime puisse constituer le fondement juridique d'un traitement de données à caractère personnel. L'intérêt poursuivi par l'organisme doit d'abord être légitime. La CNIL estime que le caractère légitime de cet intérêt peut être présumé si trois conditions sont remplies : - L'intérêt est manifestement licite ; - Il est déterminé de façon suffisamment claire et précise ; - Il est réel pour l'organisme concerné, et non fictif. Ensuite, le traitement de données à caractère personnel doit être nécessaire. Ceci implique en particulier que le responsable de traitement doit s'assurer qu'il n'existe pas de moyen moins intrusif pour la vie privée d'atteindre cet objectif que de mettre en œuvre le traitement envisagé. Enfin, le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. Le responsable de traitement doit ainsi vérifier que les intérêts qu'il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Cette mise en balance des droits et intérêts en cause doit être effectuée pour chaque traitement. Concrètement, la CNIL propose une méthodologie en trois étapes en vue d'évaluer la pertinence de l'intérêt légitime comme base juridique d'un traitement de données à caractère personnel : - Identification du caractère légitime de l'intérêt poursuivi par le responsable du traitement et vérification du caractère nécessaire du traitement au vu de cet objectif ; - Évaluation des atteintes aux intérêts et droits et libertés des personnes et prise en compte de leurs attentes raisonnables ; - Mise en balance de ces éléments et, le cas échéant, définition de mesures additionnelles.