L’intérêt légitime est, selon le RGPD, l’une des six bases légales susceptibles de fonder un traitement de données. Que recouvre la notion ? Peut-elle servir de fondement « fourre-tout » pour n’importe quel traitement ? Mes Villedieu, El Andaloussi et Viet (CMS Francis Lefebvre Avocats) démontrent qu’il n’en est rien et que la notion doit, au contraire, être maniée avec précaution.
1. Depuis l’entrée en vigueur le 25 mai 2018 du règlement général sur la protection des données (Règl. UE 2016/679 du 27-4-2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD »), les organisations qui souhaitent pouvoir traiter des données personnelles dans le cadre de leurs activités doivent se conformer à un certain nombre de règles, au respect desquelles la Commission nationale de l’informatique et des libertés (Cnil) veille scrupuleusement.
En particulier, afin d’être licite, tout traitement de données doit se fonder sur l’une des six bases légales prévues par le RGPD (art. 6) :
- le consentement de la personne concernée ;
- le contrat conclu avec la personne concernée ;
- l’obligation légale de l’organisme de traiter les données de la personne concernée ;
- la mission d’intérêt public de l’organisme qui traite les données de la personne concernée ;
- la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers ; et
- l’intérêt légitime de l’organisme qui traite les données ou celui d’un tiers.
2. Il pourrait a priori paraître plus simple de recourir à cette dernière base, plutôt qu’aux autres bases légales, dans la mesure notamment où l’intérêt légitime peut être justifié par des finalités propres à l’organisation, et ne requiert pas le consentement de la personne concernée par le traitement.
Néanmoins, si elle présente de nombreux avantages, la base légale de l’intérêt légitime ne doit pas pour autant être utilisée comme une base légale « par défaut » par les organisations, comme le rappelle le régulateur des données (L’intérêt légitime : comment fonder un traitement sur cette base légale ? Cnil : https://www.cnil.fr/fr/les-bases-legales/interet-legitime).
Si le choix de l’une de ces bases appartient au responsable de traitement, c’est-à-dire à l’organisation qui décide de la finalité et des moyens dudit traitement, ce choix se heurte à plusieurs limites :
- des limites théoriques, d’une part, puisque le recours à l’intérêt légitime est soumis à des conditions strictes, sous peine de sanctions ;
- des limites issues de la pratique, d’autre part, car les régulateurs et les juges ont progressivement encadré les contours du recours à l’intérêt légitime.
I. En théorie, le recours à l’intérêt légitime est soumis à des conditions strictes
3. La base légale de l’intérêt légitime est assortie de conditions strictes, que ce soit en amont ou en aval du traitement, sous peine de sanctions dissuasives.
A. DES CONDITIONS À RESPECTER EN AMONT
Pas d’autre base applicable « par nature »
4. En premier lieu, la base légale de l’intérêt légitime ne pourra pas être utilisée si le traitement concerné repose, par nature, sur une base légale spécifique.
5. Le choix du responsable de traitement se voit tout d’abord limité si le traitement envisagé est soumis à une quelconque obligation légale ou réglementaire prescrivant la base légale adaptée au sens de l’article 6 du RGPD.
Par exemple, la prospection commerciale par courrier électronique n’est légale que si les personnes ont explicitement donné leur consentement avant d’être démarchées (CPCE art. L 34-5).
6. Par ailleurs, lorsque l’organisation est publique, l’obligation légale et la mission d’intérêt public sont les plus pertinentes dans la majorité des cas.
7. Enfin, si le traitement envisagé s’inscrit dans une relation contractuelle et que sa finalité est nécessaire à la fourniture du service de l’utilisateur, la base légale du contrat devrait être privilégiée.
Ce n’est donc qu’en dehors de l’existence d’une base légale adaptée que la base légale de l’intérêt légitime peut être envisagée.
Conditions liées au traitement
8. D’après la Cnil (L’intérêt légitime : comment fonder un traitement sur cette base légale ? Cnil, précité), le recours à l’intérêt légitime est soumis à trois conditions :
- L’intérêt poursuivi par l’organisme doit être « légitime » : le RGPD ne prédéfinit pas de liste des intérêts dits « légitimes ». Néanmoins, en pratique, la notion concerne notamment des mesures préventives visant à garantir la sécurité des réseaux ou des personnes, ou encore des mesures de gestion administrative interne (pour plus d’exemples, voir ci-dessous nos 17 s.).
Cet intérêt doit être manifestement licite au regard du droit, être déterminé de façon suffisamment claire et précise et être réel et actuel pour l’organisme concerné.
- La nécessité du traitement doit être démontrée, c’est-à-dire que le traitement doit être réalisé afin d’atteindre un objectif prédéfini, et doit être le moyen le moins intrusif pour la vie privée.
- Le traitement ne doit pas heurter les droits et intérêts des personnes concernées : les intérêts légitimes poursuivis (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) ne doivent pas créer de déséquilibre au détriment des droits et libertés des personnes dont les données sont traitées.
Ces droits concernent avant tout la vie privée des personnes mais également leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités ou déplacements, exclusion de l’accès à des services, etc.).
Ainsi, si le traitement porte une atteinte excessive aux droits et libertés des personnes, l’intérêt légitime ne pourra pas fonder légalement sa mise en œuvre.
Le cas échéant, des mesures compensatoires ou additionnelles peuvent être mises en place afin de limiter les effets négatifs du traitement sur les droits et libertés (L’intérêt légitime : comment fonder un traitement sur cette base légale ? Cnil, précité).
L’intérêt légitime n’est pas suffisant pour un traitement de données sensibles
9. En dernier lieu, le recours à la base légale de l’intérêt légitime est insuffisant lorsque le traitement envisagé inclut des données sensibles au sens du RGPD.
Ces données « sensibles » sont celles qui sont relatives à « l’intimité de la vie privée, à savoir les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une personne » (RGPD art. 9).
10. Le traitement de ce type de données est en principe interdit, sauf exceptions limitatives :
- si la personne concernée a donné son consentement exprès ;
- si les informations sont rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public ;
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
11. Aussi, si le traitement contient des données sensibles, il ne sera possible de recourir à la base légale de l’intérêt légitime (RGPD art. 6) que si l’on se trouve dans un cas de figure couvert par l’une de ces dérogations (RGPD art. 9). En pratique, cela pourra conduire l’organisation à demander le consentement exprès des personnes concernées, rendant ainsi inutile le recours à la base légale tirée de l’intérêt légitime.
B. DES CONDITIONS À RESPECTER EN AVAL
12. En complément, le recours à la base légale de l’intérêt légitime doit être nécessairement suivi des mesures suivantes :
- l’information des personnes concernées de l’utilisation de cette base légale. En particulier, les intérêts légitimes poursuivis doivent être spécifiés (lutte contre la fraude, sécurité du système, etc.) (Prendre en compte les bases légales dans l’implémentation technique, Cnil : https://www.cnil.fr/fr/prendre-en-compte-les-bases-legales-dans-limplementation-technique) ;
- le choix du recours à cette base légale doit figurer dans la documentation technique de l’organisation, afin de pouvoir en justifier en cas de contrôle de la Cnil.
C. DES SANCTIONS DISSUASIVES
13. En cas de traitement fondé sur l’intérêt légitime ne respectant pas les conditions du RGPD, la Cnil peut prononcer une ou plusieurs des mesures suivantes :
- un rappel à l’ordre ;
- une injonction de se mettre en conformité ; cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard ;
- une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
- une amende administrative ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
La Cnil peut également décider de rendre publique la sanction prononcée.
14. Au-delà du cadre légal et réglementaire applicable à l’utilisation de la base légale de l’intérêt légitime, la pratique s’est également penchée sur cette notion.
II. La mise en pratique : le recours à l’intérêt légitime vu par les régulateurs et les juges
A. LES LIGNES DIRECTRICES DES RÉGULATEURS
15. Le groupe de travail « Article 29 » s’est exprimé sur la notion d’intérêt légitime dans son avis 06/2014 (G29, avis 06/2014 du 9-4-2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE), soulignant que ce motif était souvent utilisé « en dernier ressort », dans des situations où l’on considère en général que les autres motifs légitimant le traitement ne s’appliquent pas. Perçu en quelque sorte comme une « porte ouverte », l’intérêt légitime semble pour certains responsables de traitement légitimer tout traitement de données.
C’est dans l’objectif de lutter contre ce flou générateur d’insécurité juridique que le G29 s’est penché sur les critères permettant de déterminer si et quand l’intérêt légitime peut servir de fondement juridique. On notera que le CEPD, qui a remplacé le G29 après l’entrée en vigueur du RGPD, s’appuie sur l’avis de son prédécesseur dans ses propres décisions et recommandations, qui conservent donc toute leur pertinence.
Mise en balance des droits et intérêts en présence…
16. Le critère principal repose sur la mise en balance entre l’intérêt légitime poursuivi par le responsable du traitement (ou par des tiers) et l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Cette mise en balance ne peut s’opérer que si l’intérêt poursuivi par le responsable de traitement est suffisamment clair, réel et actuel ; un intérêt hypothétique ne suffira pas.
17. Par ailleurs, cet intérêt doit être légitime, ce qui pour le G29 implique qu’il doit être « acceptable au regard du droit » et donc conforme aux législations en vigueur dans l’Union européenne. Cette approche inclut des intérêts très variés mais que le G29 tente de préciser en communiquant une liste non exhaustive de situations où l’intérêt légitime peut être présent, notamment celles concernant l’exécution de demandes en justice, l’exercice du droit à la liberté d’expression, la prévention de la fraude, la sécurité des personnes, des systèmes informatiques, la recherche etc.
Il conviendra, après avoir déterminé cet intérêt légitime, de s’interroger sur la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers.
La Cnil recommande également de tenir compte des « attentes raisonnables » des personnes. En effet, la démonstration d’un intérêt légitime sera plus facile si le traitement de données peut être raisonnablement anticipé. Ce sera notamment le cas pour des actions de fidélisation de clients. En revanche, la Cnil considère que le profilage en vue d’adresser de la publicité ciblée peut dépasser les attentes raisonnables des clients (L’intérêt légitime : comment fonder un traitement sur cette base légale ? Cnil, précité).
… et établissement d’un bilan
18. La mise en balance exercée par le responsable de traitement doit en principe être documentée et refléter le travail de réflexion qui a précédé la mise en place du traitement. Un bilan doit être établi tenant compte des aspects suivants :
- appréciation des droits fondamentaux ou des intérêts de personnes concernées « versus » intérêt poursuivi par le responsable de traitement : quelle est la nature de l’intérêt poursuivi (droit fondamental, intérêt public) ? Quel est le statut de la personne concernée (mineur, salarié) ? Quels sont les conséquences sur les personnes concernées par le traitement de données et les avantages qui en découleraient pour le responsable de traitement ?
- appréciation des garanties supplémentaires mises en place : est-ce que le principe de minimisation des données est respecté ? Quelles sont les mesures techniques et organisationnelles mises en place par le responsable de traitement garantissant une utilisation appropriée des données personnelles ?
19. Ces lignes directrices doivent guider les organisations afin qu’elles recourent à la base légale de l’intérêt légitime seulement lorsque ce fondement peut être strictement justifié et non en cas d’inapplicabilité d’autres fondements. Pourtant, comme l’illustre la jurisprudence récente, ce raisonnement est loin d’être toujours appliqué.
B. LA JURISPRUDENCE
20. Le 12 mai 2023, le groupe Meta (Facebook, Instagram et WhatsApp) a été condamné à une amende de 1,2 milliard d’euros par la Data Protection Commission, le régulateur irlandais, équivalent français de la Cnil. En cause, notamment, le traitement des données personnelles de ses utilisateurs à des fins de publicité ciblée sur la seule base du contrat conclu avec ces derniers, sans avoir recueilli leur consentement.
Meta fait alors le choix de modifier ses conditions générales d’utilisation pour prévoir que la publicité ciblée sera finalement fondée sur l’intérêt légitime. Un fondement remis en cause dès le 4 juillet 2023 par la Cour de justice de l’Union européenne (CJUE), qui déclare que la publicité ciblée par laquelle le réseau social finance son activité ne saurait en aucun cas justifier un intérêt légitime poursuivi par Meta (CJUE 4-7-2023 aff. 252/21).
Finalement, quelques jours avant la date butoir fixée par le régulateur irlandais, Meta a annoncé son intention de changer de base légale. Pour se conformer aux décisions des régulateurs européens, Meta a ainsi fait le choix de proposer un accès gratuit à Facebook et Instagram pour les internautes qui accepteraient de consentir à la publicité ciblée. Cela n’a pas empêché le CEPD d’adopter, le 27 octobre 2023, une décision contraignante urgente, invitant l’autorité de protection des données irlandaise à interdire à Meta tout traitement de données à des fins de publicité comportementale qui serait fondé sur les bases juridiques du contrat ou de l’intérêt légitime (communiqué CEPD, Urgent Binding Decision on processing of personal data for behavioural advertising by Meta, 1-11-2023). Le régulateur européen indique dans son communiqué avoir pris bonne note du fait que Meta souhaitait à l’avenir s’appuyer sur la base légale du consentement. Cette proposition est en cours d’évaluation par la Cnil irlandaise.
21. Ce faisant, la CJUE applique le raisonnement qu’elle utilise traditionnellement pour déterminer si un intérêt légitime existe (voir notamment les nos 8 s. sur les trois critères à respecter – les trois critères ont été repris et explicités par la Cnil).
22. Dans ses décisions antérieures, la juridiction européenne avait déjà pu déterminer que sont susceptibles de constituer un intérêt légitime :
- la protection des biens, de la santé et de la vie du responsable de traitement ainsi que ceux de sa famille (CJUE 11-12-2014 aff. 212/13 – rendu sous l’empire de la directive 95/46, mais repris par la suite) ;
- le fait pour un responsable du traitement de vouloir obtenir une donnée à caractère personnel concernant une personne qui aurait porté atteinte à sa propriété afin de l’assigner en justice pour obtenir réparation (CJUE 4-5-2017 aff. 13/16, point 108 ; décision également rendue sous l’empire de la directive 95/46, mais toujours valable) ;
- le recouvrement des créances en bonne et due forme (Conclusions CJUE 17-6-2021 aff. 597/19, point 131).
23. De son côté, la Cnil a déjà pu reconnaître, dans le cadre de deux procédures de contrôle rendues publiques, un intérêt légitime à conserver :
- les données d’anciens clients à des fins d’amélioration des services (décision MED-2017-075 du 27-11-2017 ; décision formulée avant l’adaptation du droit français au RGPD, mais citée dans des décisions de sanctions ultérieures) ;
- des données bancaires pour lutter contre la fraude (délibération SAN-2023-008 du 8-6-2023).
24. Les décisions factuelles sont encore peu nombreuses, en la matière, et les solutions retenues le sont toujours sous réserve que les deux autres critères permettant de conclure à l’intérêt légitime soient remplis, à savoir la nécessité du traitement et l’absence de heurt avec les intérêts des personnes concernées.
Article paru au BRDA n° 24/23 du 15 décembre 2023
En savoir plus sur notre cabinet d'avocats
CMS Francis Lefebvre est le premier cabinet d’avocats d’affaires français pluridisciplinaire et international.
Véritable institution du monde du droit et des affaires, nous disposons d’une force de frappe internationale de premier plan avec en France 450 avocats dont 110 associés, et dans le monde plus de 5 000 avocats répartis dans plus de 40 pays et de 70 villes.
Partenaire de confiance de nos clients, nous les aidons à relever leurs défis en intervenant à leur côté en conseil, en transactionnel et en contentieux.
Ainsi, nous accompagnons leurs projets, sécurisons leurs transactions et assurons leur défense.
|
|
|
