Le texte exact est celui-ci : « f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »
Les Guidelines du Contrôleur européen de la protection des données (1/2024 du 8 octobre 2024) sur les traitements de données basés sur l’article 6(1)(f) du RGPD exigent que 3 conditions soient remplies pour pouvoir se prévaloir de la base légale de l’intérêt légitime.
Le Comité précise : « Afin de déterminer si un traitement de données à caractère personnel peut être fondé sur l’article 6, paragraphe 1, point f), du RGPD, les responsables du traitement doivent évaluer avec soin et documenter si ces trois conditions cumulatives sont remplies. Cette évaluation doit être effectuée avant de procéder aux opérations de traitement concernées. »
Le document établissant la preuve de la réunion de ces 3 conditions est désormais dénommé « legitimate interest assessment » et fait partie de la documentation « accountability » que doit posséder le responsable de traitement pour être conforme au RGPD.
Les 3 conditions impliquent de répondre aux questions suivantes :
1) Quel est l’intérêt légitime poursuivi par le responsable de traitement ou le tiers ? Là encore, trois critères cumulatifs à remplir :
- L’intérêt doit être licite, c’est-à-dire qu’il ne doit pas être contraire au droit de l’Union européenne ou des États membres,
- L’intérêt doit être clairement et précisément formulé,
- L’intérêt doit être réel et présent, à la date du traitement des données, il ne doit pas être hypothétique.
2) Le traitement de la donnée ou des données est-il nécessaire pour la réalisation de cet intérêt légitime (test de nécessité) ?
Il s’agit ici de se demander s’il n’existe pas d’autres moyens moins intrusifs pour parvenir au résultat. Si ces autres moyens sont moins efficaces, mais existent, le test de nécessité ne pourra pas aboutir positivement. L’idée sous-jacente demeure le principe de minimisation.
3) Les droits et libertés des personnes ne prévalent-elles pas sur l’intérêt du responsable de traitement ou du tiers (test de la balance des intérêts en présence) ?
Pour ce dernier test de la balance, le responsable de traitement doit identifier et décrire :
- les intérêts des personnes concernées [1], leurs droits et libertés,
- l’impact du traitement sur ces personnes, à savoir la nature des données traitées, le contexte du traitement, les conséquences du traitement pour les personnes,
- les attentes raisonnables de la personne concernée [2], mais aussi un éventuel préjudice lié à la perte de contrôle de ses données ou à un sentiment d’observation continue,
- la conclusion finale sur la balance des intérêts opposés (« balancing of the opposing rights and interests »), y compris le cas échéant l’existence de mesures possibles d’atténuation des risques pour les personnes.
Le traitement ne peut avoir lieu que si le résultat de cet exercice de mise en balance montre que les intérêts légitimes poursuivis ne sont pas supplantés par les intérêts, droits et libertés des personnes concernées.
Cette nouvelle documentation doit être rédigée par le DPO pour chaque traitement basé sur l’intérêt légitime.
Le CEPD admet que : « une évaluation correcte au titre de l’article 6, paragraphe 1, point f), du RGPD n’est pas un exercice simple. »
Enfin, si des risques élevés sont identifiés dans le cadre de cette évaluation, le responsable du traitement devrait envisager de réaliser une analyse d’impact relative à la protection des données (AIPD) conformément à l’article 35 du RGPD.
