Accueil
Le quotidien du droit en ligne
-A+A
Article

Précisions par le CEPD de l’intérêt légitime du traitement au sens du RGPD

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l’intérêt légitime au sens de l’article 6, 1, f), du RGPD, qui constitue l’une des bases légales d’un traitement de données personnelles. Ces lignes directrices apportent des précisions et recensent des conseils à propos de l’utilisation de l’intérêt légitime.

Les lignes directrices sur l’intérêt légitime publiées le 8 octobre 2024 par le Comité européen de la protection des données (CEPD) participent à l’application cohérente du RGPD dans l’ensemble des États de l’Union. Par ailleurs, elles sont soumises à une consultation publique jusqu’au 20 novembre ce qui conforte l’effort de coopération.

L’intérêt légitime, qui est susceptible de fonder la licéité d’un traitement de données personnelles conformément à l’article 6, 1, f) du RGPD, est une notion souvent perçue comme relativement floue et « fourre-tout » (R. Perray, L’intérêt légitime, une base légale du RGPD pas vraiment comme les autres, CCE 2021. Étude 11). Des exemples en sont donnés par les considérants 47 à 49 du règlement. Le 9 avril 2014, le G29 avait déjà publié un avis 06/2014 sur cette notion au sens de l’article 7 de la directive 95/46/CE, dont de nombreux éléments ont été repris dans le RGPD. Toutefois, des difficultés d’interprétation et d’harmonisation au sein de l’Union sont rapidement apparues à la suite de cette directive peu précise (J.-Cl. Communication, fasc. 932-73, par R. Perray, nos 72-73). Depuis le RGPD, la Cour de justice de l’Union européenne et les autorités nationales de protection des données ont précisé les contours de la notion (v. not., CNIL, L’intérêt légitime : comment fonder un traitement sur cette base légale ?, 2 déc. 2019).

Les lignes directrices du CEPD reprennent en grande partie l’avis du G29 (§ 5) et la jurisprudence de la Cour de justice, mais présentent l’avantage d’être actualisées sans besoin de s’interroger sur l’applicabilité de la méthodologie élaborée par le G29.

Les conditions de l’intérêt légitime comme base légale d’un traitement

Le CEPD explique en détail les conditions devant être réunies – et vérifiées par le responsable avant tout traitement – pour que l’intérêt légitime puisse constitue une base légale du traitement de données, tout en donnant des exemples permettant de comprendre leur application pratique. Il en résulte que l’intérêt légitime ne saurait être considéré comme une base légale « par défaut » (§ 9 ; CNIL, art. préc.), utilisée « en dernier ressort » ou « comme une dernière chance si aucun autre motif ne s’applique » (§ 9 ; G29, avis préc., p. 10). Au contraire, « l’article 6(1)(f) (…) doit être interprété strictement » (§ 9).

La poursuite d’un intérêt légitime. Tous les intérêts invoqués pour un traitement de données ne sont pas légitimes : le responsable de traitement doit prouver ce caractère (§ 15 ; CJUE 7 déc. 2023, aff. C-26/22 et C-64/22, pt 75, D. 2023. 2240 ; Dalloz IP/IT 2024. 227, obs. V. Younès-Fellous ; RTD com. 2024. 349, obs. T. Douville ). Pour cela, ces intérêts doivent être « licites (…), clairement et précisément déterminés (…) [et] réels et existants » (§ 17 ; CNIL, art. préc.). Cette dernière condition s’apprécie au jour du traitement et signifie que l’intérêt ne doit pas être hypothétique (CJUE 11 déc. 2019, aff. C-708/18, pt 44, D. 2019. 2409 ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2020. 262, obs. C. Galichet ).

Ensuite, l’intérêt doit être poursuivi par le responsable de traitement ou un tiers. Selon le Comité, « l’intérêt poursuivi par le responsable de traitement doit être lié à ses activités actuelles » (§ 19), de même que pour un tiers (§ 20) par exemple pour la recherche scientifique (§ 24). Si les données sont traitées dans un autre but – souvent celui d’un tiers – que celui pour lequel elles avaient été collectées initialement – celui du responsable de traitement –, ce dernier doit s’assurer que ce but est compatible avec le but originel conformément à l’article 6, 4 (§ 26).

La nécessité du traitement. La condition de nécessité du traitement – faisant l’objet d’une interprétation indépendante conforme aux objectifs du droit à la protection des données (§ 28) – est essentielle dans le cadre du RGPD : le responsable doit s’assurer qu’aucun autre moyen moins attentatoire aux droits et libertés fondamentaux des personnes concernées n’est possible pour la poursuite des intérêts légitimes (CJUE 4 juill. 2023, aff. C-252/21, pt 121, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2023. 1313 ; Dalloz IP/IT 2024. 45, obs. A. Lecourt ; RTD eur. 2023. 754, obs. L. Idot ). Derrière cette condition de nécessité se cache donc également celle de proportionnalité (v. dès avant le RGPD, CNIL, délib. n° 2013-025 du 10 juin 2013) : si un moyen moins intrusif suffit, le traitement ne saurait être considéré comme nécessaire (§ 29). La nécessité implique également la minimisation des données prévue par l’article 5, 1, c) du RGPD (§§ 4 et 29) : les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (CJUE 11 déc. 2019, préc., pt 48).

La balance des intérêts. Avant le RGPD, la CNIL avait pu juger que « l’intérêt légitime du responsable de traitement ne saurait porter atteinte » aux intérêts ainsi qu’aux droits et libertés de la personne concernée (Délib. n°...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :