Lorsque la finalité d’un traitement de données repose sur un intérêt commercial, il convient de prouver que cet objectif répond aux exigences du RGPD. Si la CJUE (Cour de justice de l’Union européenne) admet que la rentabilité économique peut constituer un intérêt légitime, elle rappelle également que l’équilibre entre cet intérêt et les droits des personnes concernées doit être soigneusement évalué. Cette analyse retrace les critères de licéité, de nécessité et de proportionnalité, à la lumière des dernières décisions jurisprudentielles.

L’intérêt légitime en droit des données personnelles.

L’intérêt légitime constitue l’une des bases légales les plus discutées en matière de protection des données, au même titre que le consentement ou l’obligation légale. Son caractère flexible le rend attractif pour les entreprises et les associations souhaitant traiter des informations à caractère personnel sans solliciter le consentement préalable des personnes concernées.

Cependant, cette souplesse implique de rigoureuses conditions, régulièrement rappelées par la Cour de justice de l’Union européenne et les autorités de protection des données. Il s’agit, en effet, d’un mécanisme dont l’utilisation doit respecter des critères précis, afin de ne pas empiéter sur les droits et libertés fondamentaux reconnus aux individus.

Les fondements juridiques de l’intérêt légitime.

Le règlement général sur la protection des données (RGPD, article 6 [1]) dresse la liste des six bases légales pouvant justifier un traitement de données personnelles. Parmi elles, figure l’intérêt légitime du responsable de traitement ou d’un tiers. Cette base légale, souvent perçue comme moins restrictive que le consentement, ne saurait toutefois être utilisée de manière systématique. En effet, l’intérêt mis en avant doit être licite et réel, et ne pas porter atteinte aux droits fondamentaux des personnes.

Ainsi, l’existence d’un intérêt commercial peut, en principe, constituer un intérêt légitime. C’est ce qu’a rappelé la CJUE, notamment dans une affaire relative à la cession de données personnelles à des partenaires de sponsoring (CJUE, 4 juillet 2023 [2]). Le juge européen a admis que la rentabilité économique ou les perspectives de profit liées à la prospection commerciale pouvaient être prises en compte à titre d’intérêt légitime, tant que celles-ci n’empiétaient pas sur les droits et libertés des individus.

Références légales supplémentaires.

Le considérant 47 du RGPD souligne que l’existence d’une relation pertinente entre le responsable de traitement et la personne concernée peut faciliter la reconnaissance d’un intérêt légitime.

En droit interne, la Commission nationale de l’informatique et des libertés (CNIL) a déjà confirmé que la conservation de données à des fins d’amélioration de services pouvait reposer sur un intérêt légitime (décision de la CNIL du 27 novembre 2017).

Par ailleurs, la prospection commerciale par voie électronique est encadrée par le Code des postes et des communications électroniques (CPCE, article L34-5 [3]).

Au-delà de la seule existence d’un intérêt commercial ou associatif, deux critères sont essentiels pour que l’intérêt légitime puisse servir de fondement valide à un traitement de données : la nécessité du traitement et la mise en balance des droits et intérêts en présence.

La nécessité du traitement.

La CJUE (CJUE, 17 juin 2021 [4]) exige que le traitement de données soit nécessaire à la poursuite de l’intérêt légitime. En d’autres termes, le responsable doit démontrer qu’il n’existe pas de moyen moins intrusif pour parvenir au même résultat. S’il est possible de recueillir le consentement sans nuire significativement aux objectifs poursuivis, l’intérêt légitime risque de ne pas être considéré comme un fondement adéquat.

Par exemple, dans l’affaire précitée concernant une fédération sportive, la CJUE a observé que la prospection commerciale litigieuse aurait pu être mise en œuvre au moyen d’un mécanisme de consentement recueilli auprès des membres. Elle a donc jugé que la condition de nécessité n’était pas remplie, ce qui a amené l’autorité nationale à sanctionner le responsable du traitement.

La pondération des droits et libertés de la personne concernée.

Le second critère impose une évaluation entre, d’une part, l’intérêt légitime invoqué et, d’autre part, les droits fondamentaux des personnes dont les données sont traitées. Les autorités de protection des données examinent si ces dernières pouvaient raisonnablement s’attendre à un tel usage de leurs informations.

• L’ampleur du traitement : si les données transférées sont nombreuses ou sensibles, l’atteinte aux droits fondamentaux sera jugée plus importante.
• La nature des données : certaines informations peuvent être considérées comme particulièrement sensibles (ex : données de santé ou d’orientation politique).
• Les risques induits : une collecte excessive ou la communication à des tiers non prévus initialement peut être perçue comme disproportionnée.

Dans un arrêt emblématique, la CJUE (CJUE, 4 juillet 2023 [5]) a rappelé que, lorsque les données sont transmises à une entité dont les activités peuvent affecter négativement les personnes (p. ex. un opérateur de jeux de hasard exposant les individus à un risque de ludopathie), le juge national doit vérifier si cette transmission reste en adéquation avec les attentes raisonnables des intéressés.

L’exemple de la fédération sportive.

Pour illustrer concrètement ces principes, rappelons les faits concernés : une fédération de tennis néerlandaise cédait, à titre onéreux, des données personnelles de ses membres (nom, date de naissance, coordonnées) à des sponsors partenaires pour des opérations de prospection. Les individus se sont plaints auprès de l’autorité de contrôle, laquelle a prononcé une sanction.

Dans le cadre du recours, la CJUE a estimé que l’intérêt commercial pouvait certes constituer un intérêt légitime, mais encore fallait-il vérifier la proportionnalité de la mesure et les attentes raisonnables des personnes concernées. Or, la communication de données à un opérateur de jeux de hasard pouvait sembler inattendue pour les adhérents d’une fédération sportive. Le juge national doit ainsi s’assurer que l’association ne disposait pas d’une solution moins intrusive (par exemple, recueillir le consentement spécifique ou limiter la transmission à des partenaires moins controversés).

Le rôle des autorités de protection.

Les autorités de protection telles que la CNIL en France ou l’Autorité néerlandaise de protection des données jouissent de larges pouvoirs pour faire respecter les principes du RGPD. Elles peuvent prononcer des mises en demeure, des amendes administratives et, au besoin, ordonner la cessation de traitements jugés illicites.

Lorsqu’un organisme invoque l’intérêt légitime, celui-ci doit être en mesure de prouver :

• La licéité et la légitimité de son objectif.
• La stricte nécessité de ce traitement pour atteindre cet objectif.
• L’absence de solution alternative moins attentatoire aux droits et libertés.
• Une mise en balance favorable vis-à-vis des droits des personnes, en tenant compte notamment des informations portées à leur connaissance.

Exemples jurisprudentiels supplémentaires.

L’arrêt (Cass. Soc., 15 déc. 2016, n°15-21389 [6]) s’inscrit dans une lignée où la Cour de cassation souligne l’importance pour l’employeur de respecter les libertés individuelles lors de la mise en place de dispositifs de contrôle basés sur un prétendu intérêt légitime.

De même, la CNIL, dans sa décision MED-2017-075, a estimé que la simple volonté d’exploiter des données pour des finalités non initialement prévues ne pouvait se justifier uniquement par l’invocation d’un intérêt légitime, sans une analyse approfondie des conséquences sur la vie privée des personnes concernées.

Recommandations pratiques pour les responsables de traitement.

Afin de sécuriser juridiquement leur recours à l’intérêt légitime, les professionnels sont invités à :

• Rédiger une analyse d’impact lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes.
• Mener une véritable réflexion sur la proportionnalité : si un moyen moins intrusif existe, il conviendra de l’explorer en priorité.
• Informer clairement les personnes concernées de cette finalité de traitement et de la possibilité de s’y opposer, sauf exception légale contraire.
• Tenir compte de la finalité précise : la prospection commerciale par e-mail, par exemple, requiert souvent un consentement explicite (CPCE, article L34-5 [7]).

Enfin, même si le consentement peut paraître plus contraignant, il demeure dans certains cas la base légale la plus adaptée, dès lors qu’il assure la libre adhésion des individus. Inversement, l’intérêt légitime ne doit pas devenir une base par défaut utilisée à chaque difficulté pratique.

Conclusion.

En définitive, l’intérêt légitime offre une certaine flexibilité aux responsables de traitement, à condition que celui-ci repose sur un objectif sérieux et licite, conforme au RGPD (RGPD, article 6 [8]). Le juge et les autorités de contrôle s’attachent toutefois à vérifier que cette base légale ne soit pas galvaudée pour contourner l’exigence de consentement ou nuire aux droits fondamentaux.

L’intérêt commercial ou la volonté d’offrir un service élargi peuvent être reconnus comme légitimes, mais encore faut-il prouver que le traitement litigieux est strictement nécessaire et proportionné. Les récents arrêts de la CJUE (CJUE, 17 juin 2021 [9] et CJUE, 4 juillet 2023 [10]) confirment l’importance de mener une analyse approfondie, basée sur des critères précis. Cette jurisprudence européenne incite donc les responsables de traitement à davantage de transparence et de rigueur, pour que la protection des données personnelles reste une réalité concrète, et non un simple principe de façade.

Noémie Le Bouard, Avocat Barreau de Versailles Le Bouard Avocats https://www.lebouard-avocats.fr https://www.lebouardavocats.com/

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).