Intérêt légitime

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant (article 6.1.f) du RGPD).


Pour pouvoir invoquer cette base juridique en tant que responsable du traitement, vous devez vérifier si les 3 conditions suivantes sont remplies de manière cumulative :

  • vous, en tant que responsable du traitement, ou un tiers à qui les données sont fournies, poursuivez un intérêt légitime ;
  • le traitement de données à caractère personnel est nécessaire à la réalisation de cet intérêt légitime ;
  • les libertés et droits fondamentaux de la personne concernée ne prévalent pas.

Vous devez avoir un intérêt clair, existant et actuel (pas un intérêt hypothétique) qui s'inscrit dans le cadre de vos activités en tant que responsable du traitement ou vous avez un intérêt à court terme.

L'intérêt est différent de la finalité du traitement. Par exemple une entreprise chimique a un intérêt à garantir la santé et la sécurité de ses travailleurs. À cet égard, elle peut avoir pour finalité la mise en place de procédures d'accès spécifiques à certaines parties de l'entreprise qui s'accompagnent d'un traitement de données à caractère personnel afin de contribuer à garantir la sécurité et la santé.

Votre intérêt doit être légitime. Un intérêt est considéré comme légitime tant que vous le poursuivez de manière conforme à la réglementation en matière de protection des données d'une part, et à toute autre réglementation pertinente d'autre part.

Quelques exemples d'intérêts légitimes :

  • sécurisation des accès à des bâtiments ;
  • IT et sécurité réseau ;
  • recouvrement de dettes sans intervention du tribunal ;
  • prévention de la fraude.

L'intérêt légitime d'un tiers à qui les données sont fournies doit répondre aux mêmes critères que ceux repris ci-avant. Un exemple : le tiers mène une recherche historique/scientifique et à cet effet, il a besoin d'un accès à une banque de données contenant des données à caractère personnel.

L'exception à la protection des données à caractère personnel et les limitations de cette protection doivent rester dans les limites de ce qui est strictement nécessaire. Il ne s'agit en soi que de l'application du principe de minimisation des données mentionné à l'article 5.1.c) du RGPD : on ne peut traiter que les données qui sont vraiment nécessaires. Pour juger de cette nécessité, il faut se poser la question suivante : ai-je d'autres moyens à ma disposition me permettant d'atteindre le même résultat en vue de l'intérêt légitime, sans traitement de données à caractère personnel. Si la réponse est affirmative, il n'y a pas de nécessité.

Il faut mettre en balance vos intérêts et ceux des personnes concernées. Si le résultat de cet exercice indique que les intérêts de ces dernières ne prévalent pas, vous pouvez fonder le traitement sur la base juridique "intérêt légitime".

La pondération se fait en tenant compte des circonstances spécifiques du cas d'espèce. Éléments à prendre en considération dans le cadre de cet exercice :

  • le poids de votre intérêt légitime en tant que responsable du traitement. Son impact sera plus important :
    • lorsque vous n'agissez pas uniquement dans votre propre intérêt professionnel, mais aussi dans un intérêt public ou un intérêt d'une communauté plus large ;
    • lorsque le traitement envisagé est nécessaire et proportionnel pour exercer un droit fondamental mentionné dans la Charte des droits fondamentaux de l’Union européenne, comme par exemple la liberté d'entreprise, la liberté d'expression, la liberté des sciences ;
       
  • son impact sur les droits et libertés de la personne concernée. Il est influencé par :
    • les conséquences positives et négatives, tant réelles que potentielles, qui découlent du traitement comme par exemple le risque de discrimination, d'exclusion, d'atteinte à la réputation. Une analyse des risques peut constituer une aide utile à cet égard.
    • la nature des données que vous traitez. En général, les conséquences du traitement de catégories particulières de données à caractère personnel mentionnées aux articles 9 et 10 du RGPD sont plus importantes pour la personne concernée que lorsqu'il s'agit de données à caractère personnel "ordinaires".
      • attention :
        • le traitement de données à caractère personnel "innocentes" peut aussi, en fonction de la manière dont il est réalisé, donner lieu à des conséquences graves pour la personne concernée ;
        • vous ne pouvez pas continuer à traiter sans aucune condition des informations qui ont été rendues publiques, mais ce facteur aura quand même son importance dans l'exercice.
    • la manière dont vous traitez les données :
      • les rendez-vous publiques ?
      • les rendez-vous accessibles à un grand nombre de personnes ?
      • traitez-vous une grande quantité de données à caractère personnel ?
      • les combinez-vous avec d'autres données à caractère personnel (profilage) ? Les résultats de cette combinaison peuvent donner lieu à une image inexacte du comportement ou de la personnalité d'un individu, avec toutes les conséquences négatives qui en découlent.
      • les attentes raisonnables de la personne concernée relatives à l'utilisation et à la fourniture de ses données (cela signifie que vous devez tenir compte des dispositions légales ou contractuelles applicables, des promesses faites lors de la collecte des données, …).
    • La qualité du responsable du traitement et de la personne concernée :
      • il y a une inégalité dans la relation entre vous, responsable du traitement, et la personne concernée. Par exemple, entre employeur et travailleur, docteur et patient, vous avez une position de marché dominante qui peut constituer une menace pour les personnes concernées individuelles, en tant que grande entreprise, vous disposez de plus de moyens et de marge de négociation qu'une personne concernée individuelle ;
      • certaines personnes font partie d'un groupe vulnérable de la population, par exemple des enfants, des demandeurs d'asile, des personnes souffrant de troubles mentaux, des personnes âgées, …

Si cet exercice ne permet pas de déterminer clairement dans quel sens penche la balance, vous pouvez prendre des mesures complémentaires pour limiter encore l'impact du traitement pour la personne concernée.

Points d'attention particuliers :

  • lorsque le traitement repose sur cette base juridique, la personne concernée dispose en particulier d'un droit d'opposition (article 21 du RGPD) ;
  • l'article 6.2 du RGPD dispose que la base juridique "intérêt légitime" ne s'applique pas "au traitement effectué par les autorités publiques dans l'exécution de leurs missions".