Iñigo de Miguel Beriain (UPV/EHU)

Remerciements : L’auteur tient à remercier Bud Bruegger et Harald Zwingelberg pour leurs conseils, leur contribution et leurs commentaires sur les versions préliminaires.

Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).

L’intérêt légitime est l’une des six bases légales pour le traitement des données à caractère personnel énoncées à l’article 6, paragraphe 1, du RGPD (voir la sous-section “Licéité, loyauté et transparence” dans les “Principes” de la partie II des présentes lignes directrices). Cette base légale exige que les intérêts légitimes du responsable du traitement ou de tout tiers auquel les données sont communiquées prévalent sur les intérêts, les droits fondamentaux et les libertés des personnes concernées (article 6, paragraphe 1, point f). Pour vérifier que c’est bien le cas, les responsables du traitement peuvent utiliser un outil appelé “balancing test”, qui a été recommandé par le groupe de travail Article 29, par exemple^[1] . Cet outil vise à garantir que les intérêts légitimes du responsable du traitement ou de tout tiers auquel les données sont divulguées prévalent sur les intérêts et les libertés et droits fondamentaux des personnes concernées.

Quand les droits et libertés fondamentaux de la personne concernée par la protection des données ne priment-ils pas ?

La réalisation d’un test de mise en balance implique la prise en compte de plusieurs facteurs clés qui sont décisifs pour déterminer quels intérêts, libertés ou droits prévalent, à savoir^[2] :

• La nature et la source de l’intérêt légitime : si le traitement des données est nécessaire à l’exercice d’un droit fondamental, s’il est par ailleurs d’intérêt public ou s’il bénéficie d’une reconnaissance dans la communauté concernée. L’évaluation du préjudice éventuel subi par le responsable du traitement, par des tiers ou par la collectivité en général si le traitement des données n’a pas lieu est obligatoire.
• Le pouvoir et le statut des deux parties (responsable du traitement ou tiers et personne concernée). Par exemple, un employeur qui a l’intention de traiter les données d’un employé est dans une position plus forte que ce dernier. Si les personnes concernées sont des mineurs, leurs intérêts, droits ou libertés doivent être mis en balance.
• La nature des données. Si le traitement de toute donnée à caractère personnel doit être évalué de manière adéquate, le traitement de catégories particulières de données à caractère personnel, telles que l’origine raciale, les convictions religieuses, les données génériques ou les données relatives à la santé, doivent être davantage prises en compte.
• L’impact du traitement sur les personnes concernées. À cette fin, les responsables du traitement doivent examiner si le traitement peut entraîner un risque élevé pour les droits et libertés des personnes. Si c’est le cas, ils doivent effectuer une évaluation des risques liés au traitement.
• Les attentes raisonnables des personnes concernées quant à ce qu’il adviendra de leurs données. Les responsables du traitement doivent être en mesure de démontrer qu’une personne concernée s’attendrait au traitement à la lumière des circonstances particulières applicables. Si la finalité et la méthode de traitement ne sont pas immédiatement évidentes et qu’il existe un potentiel d’opinions raisonnables sur la question de savoir si les personnes s’y attendraient, les responsables du traitement peuvent souhaiter mener une forme de consultation, de groupe de discussion ou d’étude de marché avec les personnes afin de démontrer les attentes et de soutenir leur position. S’il existe des études préexistantes sur les attentes raisonnables dans un contexte particulier, les responsables du traitement peuvent s’en inspirer pour déterminer ce que les personnes peuvent attendre ou non.^[3]
• La manière dont les données sont traitées (grande échelle, exploration de données, profilage, divulgation à un grand nombre de personnes ou publication) ;
• Les garanties supplémentaires qui pourraient limiter l’impact indu sur la personne concernée, telles que la minimisation des données (par ex. des limitations strictes de la collecte des données ou la suppression immédiate des données après leur utilisation) – des mesures techniques et organisationnelles visant à garantir que les données ne peuvent pas être utilisées pour prendre des décisions ou d’autres mesures concernant les personnes (“séparation fonctionnelle”) – une large utilisation des techniques d’anonymisation, l’agrégation des données, les technologies d’amélioration de la vie privée, le respect de la vie privée dès la conception, les évaluations d’impact sur la vie privée et la protection des données ; – une transparence accrue, un droit d’opposition général et inconditionnel (opt-out), la portabilité des données et des mesures connexes visant à responsabiliser les personnes concernées, etc.

La question de la garantie supplémentaire

Le groupe de travail Article 29 considère que les mesures d’atténuation et les garanties, telles que les mesures organisationnelles ou techniques adoptées par le responsable du traitement pour la protection des données de la personne concernée, devraient être incluses dans le test de mise en balance. Il existe toutefois une autre approche, qui considère que l’article 6, paragraphe 1, point f), demande une mise en balance entre deux valeurs, les intérêts légitimes du responsable du traitement (ou d’un tiers) et les intérêts, droits et libertés de la personne concernée. Les mesures d’atténuation et les garanties ne correspondent à aucune de ces valeurs. Par conséquent, ils ne doivent pas être envisagés. Dans le cas contraire, ils l’emporteraient sur le point de vue des responsables du traitement, car ils réduiraient l’importance du préjudice éventuel causé aux intérêts, aux droits et aux libertés de la personne concernée. Kamara et De Hert ont fait des déclarations convaincantes sur cette question concrète, en affirmant que^[4]

“L’inclusion de mesures d’atténuation dans l’évaluation conduirait à une représentation de l’impact réel attendu du traitement sur les droits des personnes concernées, et permettrait toujours aux intérêts légitimes de prévaloir. Cette approche ne “punit” pas le responsable du traitement qui prend des mesures d’atténuation et des garanties, en ne les incluant pas dans le test de mise en balance. Au contraire, elle encourage le responsable du traitement à le faire. Par ailleurs, il convient de garder à l’esprit que le poids des mesures de sauvegarde et d’atténuation futures est toujours fonction de leur mise en œuvre et de leur efficacité. Ces mesures doivent donc être prises en considération, mais ne doivent pas jouer un rôle important pour déterminer de quel côté penche la balance.”

Autres lectures

1. A29WP, Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement au titre de l’article 7 de la directive 95/46/CE.Avril 2014, p. 24. À l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Consulté le 05 janvier 2020 ↑
2. A29WP, Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement au titre de l’article 7 de la directive 95/46/CE.Avril 2014, p. 24. À l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Consulté le 05 janvier 2020. ↑
3. ICO, Comment appliquons-nous les intérêts légitimes dans la pratique ? À l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-RGPD/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ Consulté : 15 janvier 2020 ↑
4. Kamara, Irène et De Hert, Paul, “Understanding the balancing act behind the legitimate interest of the controller ground : a pragmatic approach, Brussels Privacy Hub, Working paper, vol. 4, nº 12, 2018, p.17. À l’adresse : https://brusselsprivacyhub.eu/BPH-Working-Paper-VOL4-N12.pdf Consulté le : 17 janvier 2020 ↑