L’intérêt légitime constitue une base alternative de traitement licite qui pourrait être applicable à l’utilisation des données recueillies sur les réseaux sociaux, même si les autorités publiques ne peuvent pas se fonder sur cette base pour agir. Pour ceux qui peuvent utiliser cette base légale, trois conditions cumulatives doivent être remplies[1] :
- la poursuite d’un intérêt légitime par le responsable du traitement des données ou par le ou les tiers auxquels les données sont communiquées,
- la nécessité de traiter les données personnelles aux fins des intérêts légitimes poursuivis, et
- à condition que les libertés et droits fondamentaux de la personne concernée dont les données doivent être protégées ne priment pas.
Ainsi, en principe, l’intérêt légitime pourrait être la base juridique parfaite pour le traitement dans ce contexte. Toutefois, il existe de bonnes raisons de considérer que cette base ne s’appliquera pas toujours à l’utilisation des données pour la recherche scientifique :
- Tout d’abord, l’intérêt légitime doit s’appliquer à tous les responsables du traitement conjoints, dans le cas où le contrôle conjoint s’applique au traitement. Dans l’affaire Fashion ID, la CJUE a précisé que, dans de telles circonstances, “il est nécessaire que chacun de ces responsables du traitement poursuive un intérêt légitime […] à travers ces opérations de traitement pour que ces opérations soient justifiées à l’égard de chacun d’eux”.
- Deuxièmement, les responsables du traitement doivent être en mesure de démontrer que le test de mise en balance a été correctement effectué (voir la section “Intérêt légitime et test de mise en balance” dans la section “Principaux outils et actions” de la partie II des présentes lignes directrices). Cela signifie que les responsables du traitement conjoints sont en mesure d’établir que le traitement est nécessaire à la réalisation de ces intérêts légitimes. Cet objectif est difficile à atteindre, car le terme “nécessaire” exige un lien entre le traitement et les intérêts poursuivis. Cela signifie qu’il convient d’examiner si d’autres moyens moins invasifs sont disponibles pour servir le même objectif. De même, les sous-traitants doivent être en mesure de démontrer que les intérêts légitimes en jeu ne sont pas supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée. Tout cela est difficile à démontrer, surtout si des mineurs sont impliqués dans le traitement. [2]
- Troisièmement, l’intérêt légitime pourrait difficilement s’appliquer comme base juridique d’un traitement licite si ce traitement implique des pratiques intrusives de profilage et de suivi, par exemple celles qui consistent à suivre des individus sur plusieurs sites web, emplacements, dispositifs, services ou trocs de données.[3]
- Quatrièmement, si nous considérons les données relatives aux personnes concernées qui ont déjà eu une relation antérieure avec le chercheur et l’innovateur en TIC par le biais du réseau social, l’utilisation de l’intérêt légitime comme base juridique semble plutôt raisonnable. Toutefois, les responsables du traitement doivent prendre en considération si la relation antérieure était similaire à celle qui est sur le point d’être établie.
Si l’intérêt légitime est finalement choisi comme base juridique du traitement, les responsables du traitement doivent garder à l’esprit que les obligations de transparence et le droit d’opposition doivent être examinés attentivement. Les personnes concernées doivent avoir la possibilité de s’opposer au traitement de leurs données à des fins ciblées avant que le traitement ne soit lancé. Les utilisateurs de médias sociaux devraient non seulement avoir la possibilité de s’opposer au traitement lorsqu’ils accèdent à la plateforme, mais aussi disposer de contrôles garantissant que le traitement sous-jacent à des fins spécifiques de leurs données personnelles n’a plus lieu après qu’ils se sont opposés au traitement.[4]
Liste de contrôle : intérêt légitime
☐ Les responsables du traitement ont vérifié que l’intérêt légitime est la base la plus appropriée pour le traitement. ☐ Les responsables du traitement ont vérifié que le traitement est nécessaire et qu’il n’existe pas de moyen moins intrusif pour parvenir au même résultat. ☐ Les responsables du traitement ont procédé à un test d’équilibre et sont convaincus que les intérêts de la personne ne l’emportent pas sur ces intérêts légitimes. ☐ Lesresponsables du traitement n’utilisent pas les données des personnes d’une manière qu’elles trouveraient intrusive ou qui pourrait leur porter préjudice, sauf s’il existe une très bonne raison. ☐ Si les responsables du traitement prévoient le traitement de données relatives aux enfants, ils ont pris des précautions supplémentaires pour s’assurer que l’intérêt légitime est une base de données appropriée. ☐ Les responsables du traitement ont envisagé des mesures de sauvegarde pour réduire l’impact lorsque cela est possible. ☐ Les responsables de traitement ont mis en place des outils adéquats pour que le droit d’opposition soit facile à mettre en œuvre par les personnes concernées. ☐ Si les responsables du traitement ont identifié un impact significatif sur la protection des données personnelles, ils ont examiné s’ils devaient également mener une AIPD. ☐ Les responsables du traitement incluent des informations sur leurs intérêts légitimes dans leurs informations sur la vie privée. |
- 9 CJUE, arrêt dans l’affaire Fashion ID, 29 juillet 2019, C-40/17, para. 95 – ECLI:EU:C:2019:629. ↑
- Voir l’avis 06/2014 du groupe de travail Article 29 sur la notion d’intérêts légitimes du responsable du traitement des données en vertu de l’article 7 de la directive 95/46/CE, WP217, 9 avril 2014 https://ec.europa.eu/justice/Article-29/documentation/opinion- recommendation/files/2014/wp217_en.pdf. ↑
- Groupe de travail Article 29, Avis sur le profilage et la prise de décision automatisée, WP 251, rév. 01, p. 15, voir également Article 29 WP, Avis sur l’intérêt légitime, p. 32 et 48 : “Dans l’ensemble, il existe un déséquilibre entre l’intérêt légitime de l’entreprise et la protection des droits fondamentaux des utilisateurs et l’article 7, point f), ne devrait pas être invoqué comme fondement juridique du traitement. L’article 7, point a), serait un motif plus approprié à utiliser, pour autant que les conditions d’un consentement valable soient remplies”. ↑
- Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux Version 2.0 Adoptées le 13 avril 2021, à l’adresse : https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, p. 11) ↑