L’intérêt légitime est l’une des six bases légales pour le traitement des données à caractère personnel énoncées à l’article 6, paragraphe 1, du RGPD. Cette base juridique exige que les intérêts légitimes du responsable du traitement ou de tout tiers auquel les données sont communiquées prévalent sur les intérêts, les libertés et les droits fondamentaux des personnes concernées qui exigent la protection des données à caractère personnel (article 6, paragraphe 1, point f)). Pour vérifier que c’est bien le cas, les responsables du traitement doivent procéder à un test de mise en balance, en suivant les lignes directrices du groupe de travail Article 29[1] (voir le “Test de mise en balance”, sous la rubrique “Principaux outils et actions”, dans la partie II des présentes lignes directrices). Bien entendu, comme pour les autres bases légales du traitement, même si l’intérêt légitime prévaut et que l’évaluation conclut que le traitement peut avoir lieu, les droits de la personne concernée ne s’appliquent toujours pas (voir “Droits de la personne concernée” dans la partie II des présentes lignes directrices). En outre, des garanties et des mesures d’atténuation adéquates visant à minimiser les risques et à assurer la protection de la vie privée des personnes concernées doivent être mises en œuvre chaque fois que possible, en particulier lorsque l’évaluation conclut à un risque élevé pour les droits des personnes concernées.
| Liste de contrôle : intérêt légitime
☐ Les responsables de traitement ont vérifié que l’intérêt légitime est la base la plus appropriée. ☐ Les responsables de traitement ont vérifié que le traitement est nécessaire et qu’il n’existe pas de moyen moins intrusif pour parvenir au même résultat. ☐ Les responsables de traitement ont procédé à un test d’équilibre et sont convaincus que les intérêts de la personne ne l’emportent pas sur ces intérêts légitimes. ☐ Les responsables du traitement n’utilisent les données des individus que de la manière dont ils le feraient. ☐ Lesresponsables du traitement n’utilisent pas les données des personnes d’une manière qu’elles trouveraient intrusive ou qui pourrait leur porter préjudice, sauf si nous avons une très bonne raison. ☐ Si les responsables du traitement prévoient le traitement des données des enfants, ils ont pris des précautions supplémentaires pour s’assurer qu’ils protègent leurs intérêts. ☐ Les responsables de traitement ont envisagé des mesures de sauvegarde pour réduire l’impact lorsque cela est possible. ☐ Les responsables de traitement ont mis en place des outils adéquats pour garantir les droits des personnes concernées. ☐ S’ils ont identifié un impact significatif sur la vie privée, ils ont examiné s’ils devaient également mener une AIPD. ☐ Les responsables du traitement incluent des informations sur nos intérêts légitimes dans leurs informations sur la vie privée. |
- A29WP, Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement au titre de l’article 7 de la directive 95/46/CE. Avril 2014, p. 24. À l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Consulté le 05 janvier 2020 ↑