L’attention du ministre de l’Économie, des Finances et de la Relance a été attirée sur la définition de l’intérêt légitime des entreprises à l’aune du règlement européen n° 2016/679 du 27 avril 2016 établissant le régime général sur la protection des données (RGPD) de l’Union européenne.
Le ministre répond que l’intérêt légitime est une des bases juridiques prévues par le règlement général de la protection des données personnelles en Europe autorisant la mise en œuvre de traitements de données à caractère personnel.
L’intérêt légitime n’est pas défini de façon précise par le RGPD, cependant l’intérêt économique d’une entreprise ne permet pas à lui seul de caractériser un intérêt légitime susceptible d’autoriser un traitement de données à caractère personnel.
Plus précisément, la commission nationale de l’informatique et des libertés (CNIL) identifie trois critères pour que l’intérêt légitime puisse constituer le fondement juridique d’un traitement de données à caractère personnel.
L’intérêt poursuivi par l’organisme doit d’abord être légitime. La CNIL estime que le caractère légitime de cet intérêt peut être présumé si trois conditions sont remplies :
- l’intérêt est manifestement licite ;
- il est déterminé de façon suffisamment claire et précise ;
- il est réel pour l’organisme concerné, et non fictif.
Ensuite, le traitement de données à caractère personnel doit être nécessaire. Ceci implique en particulier que le responsable de traitement doit s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privée d’atteindre cet objectif que de mettre en œuvre le traitement envisagé.
Enfin, le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. Le responsable de traitement doit ainsi vérifier que les intérêts qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Cette mise en balance des droits et intérêts en cause doit être effectuée pour chaque traitement.
Concrètement, la CNIL propose une méthodologie en trois étapes en vue d’évaluer la pertinence de l’intérêt légitime comme base juridique d’un traitement de données à caractère personnel :
- identification du caractère légitime de l’intérêt poursuivi par le responsable du traitement et vérification du caractère nécessaire du traitement au vu de cet objectif ;
- évaluation des atteintes aux intérêts et droits et libertés des personnes et prise en compte de leurs attentes raisonnables ;
- mise en balance de ces éléments et, le cas échéant, définition de mesures additionnelles.
Rép. min. n° 8522 : JOAN, 25 août 2020, p. 5610, Brocard B.