Précisions par le CEPD de l’intérêt légitime du traitement au sens du RGPD

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l’intérêt légitime au sens de l’article 6, 1, f), du RGPD, qui constitue l’une des bases légales d’un traitement de données personnelles. Ces lignes directrices apportent des précisions et recensent des conseils à propos de l’utilisation de l’intérêt légitime.

Les lignes directrices sur l’intérêt légitime publiées le 8 octobre 2024 par le Comité européen de la protection des données (CEPD) participent à l’application cohérente du RGPD dans l’ensemble des États de l’Union. Par ailleurs, elles sont soumises à une consultation publique jusqu’au 20 novembre ce qui conforte l’effort de coopération.

L’intérêt légitime, qui est susceptible de fonder la licéité d’un traitement de données personnelles conformément à l’article 6, 1, f) du RGPD, est une notion souvent perçue comme relativement floue et « fourre-tout » (R. Perray, L’intérêt légitime, une base légale du RGPD pas vraiment comme les autres, CCE 2021. Étude 11). Des exemples en sont donnés par les considérants 47 à 49 du règlement. Le 9 avril 2014, le G29 avait déjà publié un avis 06/2014 sur cette notion au sens de l’article 7 de la directive 95/46/CE, dont de nombreux éléments ont été repris dans le RGPD. Toutefois, des difficultés d’interprétation et d’harmonisation au sein de l’Union sont rapidement apparues à la suite de cette directive peu précise (J.-Cl. Communication, fasc. 932-73, par R. Perray, nos 72-73). Depuis le RGPD, la Cour de justice de l’Union européenne et les autorités nationales de protection des données ont précisé les contours de la notion (v. not., CNIL, L’intérêt légitime : comment fonder un traitement sur cette base légale ?, 2 déc. 2019).

Les lignes directrices du CEPD reprennent en grande partie l’avis du G29 (§ 5) et la jurisprudence de la Cour de justice, mais présentent l’avantage d’être actualisées sans besoin de s’interroger sur l’applicabilité de la méthodologie élaborée par le G29.

Les conditions de l’intérêt légitime comme base légale d’un traitement

Le CEPD explique en détail les conditions devant être réunies – et vérifiées par le responsable avant tout traitement – pour que l’intérêt légitime puisse constitue une base légale du traitement de données, tout en donnant des exemples permettant de comprendre leur application pratique. Il en résulte que l’intérêt légitime ne saurait être considéré comme une base légale « par défaut » (§ 9 ; CNIL, art. préc.), utilisée « en dernier ressort » ou « comme une dernière chance si aucun autre motif ne s’applique » (§ 9 ; G29, avis préc., p. 10). Au contraire, « l’article 6(1)(f) (…) doit être interprété strictement » (§ 9).

La poursuite d’un intérêt légitime. Tous les intérêts invoqués pour un traitement de données ne sont pas légitimes : le responsable de traitement doit prouver ce caractère (§ 15 ; CJUE 7 déc. 2023, aff. C-26/22 et C-64/22, pt 75, D. 2023. 2240 ; Dalloz IP/IT 2024. 227, obs. V. Younès-Fellous ; RTD com. 2024. 349, obs. T. Douville ). Pour cela, ces intérêts doivent être « licites (…), clairement et précisément déterminés (…) [et] réels et existants » (§ 17 ; CNIL, art. préc.). Cette dernière condition s’apprécie au jour du traitement et signifie que l’intérêt ne doit pas être hypothétique (CJUE 11 déc. 2019, aff. C-708/18, pt 44, D. 2019. 2409 ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2020. 262, obs. C. Galichet ).

Ensuite, l’intérêt doit être poursuivi par le responsable de traitement ou un tiers. Selon le Comité, « l’intérêt poursuivi par le responsable de traitement doit être lié à ses activités actuelles » (§ 19), de même que pour un tiers (§ 20) par exemple pour la recherche scientifique (§ 24). Si les données sont traitées dans un autre but – souvent celui d’un tiers – que celui pour lequel elles avaient été collectées initialement – celui du responsable de traitement –, ce dernier doit s’assurer que ce but est compatible avec le but originel conformément à l’article 6, 4 (§ 26).

La nécessité du traitement. La condition de nécessité du traitement – faisant l’objet d’une interprétation indépendante conforme aux objectifs du droit à la protection des données (§ 28) – est essentielle dans le cadre du RGPD : le responsable doit s’assurer qu’aucun autre moyen moins attentatoire aux droits et libertés fondamentaux des personnes concernées n’est possible pour la poursuite des intérêts légitimes (CJUE 4 juill. 2023, aff. C-252/21, pt 121, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2023. 1313 ; Dalloz IP/IT 2024. 45, obs. A. Lecourt ; RTD eur. 2023. 754, obs. L. Idot ). Derrière cette condition de nécessité se cache donc également celle de proportionnalité (v. dès avant le RGPD, CNIL, délib. n° 2013-025 du 10 juin 2013) : si un moyen moins intrusif suffit, le traitement ne saurait être considéré comme nécessaire (§ 29). La nécessité implique également la minimisation des données prévue par l’article 5, 1, c) du RGPD (§§ 4 et 29) : les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (CJUE 11 déc. 2019, préc., pt 48).

La balance des intérêts. Avant le RGPD, la CNIL avait pu juger que « l’intérêt légitime du responsable de traitement ne saurait porter atteinte » aux intérêts ainsi qu’aux droits et libertés de la personne concernée (Délib. n° 2013-025, préc.).

Depuis, le raisonnement est inversé : les intérêts légitimes poursuivis peuvent porter atteinte à ces intérêts ou droits et libertés, mais pour constituer la base légale d’un traitement, ils doivent pouvoir « être regardés comme prévalant » sur ces derniers (CE 10 déc. 2020, n° 429571, Lebon ), ce qui implique une mise en balance des intérêts. Le responsable de traitement doit évaluer les droits, intérêts et libertés fondamentaux des personnes concernées ainsi que les répercussions du traitement envisagé sur ces derniers (§ 32 ; CNIL, art. préc.), afin d’éviter des répercussions disproportionnées (§ 33) et, si des risques importants sont identifiés, de recourir à une analyse d’impact (§ 49).

Les intérêts et droits ou libertés fondamentaux des personnes concernées peuvent être multiples : intérêt économique, droit au respect des données personnelles et de la vie privée, liberté d’expression (§§ 37-38 ; CNIL, art. préc.). Les répercussions du traitement sur ces derniers sont également diverses :

  • la nature des données ayant vocation à faire l’objet d’un traitement peut peser dans la balance : selon le Comité, « plus la nature d’une donnée (…) est sensible ou privée, plus le traitement de cette donnée est susceptible d’avoir un impact négatif sur la personne concernée, et plus cette nature doit peser dans la balance » (§ 41).
  • le contexte du traitement peut également être pris en compte : nombre de données traitées, personne concernée vulnérable, etc. (§ 43 ; CNIL, art. préc.).
  • d’autres conséquences plus larges doivent être envisagées en prenant en compte les circonstances propres à la situation de chaque individu (§ 47), par exemple les risques d’atteintes à l’intégrité physique ou psychique de la personne (§ 45).

Dans le cadre de cette mise en balance, le responsable de traitement doit également « déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin de donnée » (RGPD, consid. 47). Le CEPD reprend et développe cette condition (v. déjà, CNIL, 26 juill. 2021, n° SAN-2021-012, Dalloz actualité, 7 sept. 2021, obs. I. Gavanon et V. Le Marec ; Dalloz IP/IT 2022. 44, obs. C. Galichet ; CJUE 4 juill. 2023, préc., pt 47), qui implique que les personnes concernées ne soient pas « surprises » du traitement de leurs données et de ses modalités (§ 52 ; CNIL, art. préc.). Il donne des éléments permettant au responsable de traitement d’analyser les espérances légitimes : la relation avec la personne (par ex., consommateur, § 54) et les caractéristiques des personnes ordinaires (âge, degré de connaissances du traitement envisagé, § 54).

Lorsque ces intérêts et droits ou libertés fondamentaux prévalent sur les intérêts légitimes du responsable de traitement, ce dernier peut tout de même mettre en place son traitement grâce à cette base légale à condition de prendre des mesures « compensatoires » pour assurer un équilibre (§ 56 ; CNIL, art. préc.). Une nouvelle balance devra alors être opérée (§ 58). Le CEPD rappelle que des mesures compensatoires au sens de la directive 95/46/CE constituent aujourd’hui des obligations mises à la charge de tout responsable de traitement par le RGPD. À ce titre, seules des mesures allant au-delà de ces obligations permettent de rééquilibrer la balance entre les différents intérêts en présence (§§ 34 et 57) car la limite des répercussions du traitement constitue déjà un objectif qu’il doit respecter (§ 48) : ces mesures compensatoires ne peuvent consister en des mesures imposées par le RGPD (CNIL, art. préc.).

Le lien entre l’intérêt légitime et les droits des personnes concernées

Le CEPD explique les droits des personnes concernées susceptibles d’être impactés par le choix de l’intérêt légitime comme base légale du traitement. Le responsable doit prendre certaines mesures et garanties pour protéger ces droits (RGPD, art. 25), mais il peut en mettre en œuvre de nouvelles au-delà de cette obligation : elles seront alors prises en considération dans la balance des intérêts (§ 62). L’incidence la plus importante de l’utilisation de l’intérêt légitime comme base légale du traitement des données personnelles consiste en la privation de l’exercice du droit à la portabilité des données pour la personne concernée (RGPD, art. 20, 1). Toutefois, le CEPD ne l’évoque pas : elle se contente d’expliquer qu’au titre des mesures compensatoires prises à l’issue de la mise en balance, le responsable peut permettre à la personne d’exercer ce droit (§ 57).

Transparence et information. L’information à la personne concernée de la nature de l’intérêt légitime conformément au principe de transparence permet, selon la CNIL, de compenser l’absence de droit à la portabilité des données, puisque cette obligation est renforcée (CNIL, art. préc.) : en sus de l’obligation de préciser la base légale du traitement (RGPD, art. 13, 1, c) et 14, 1, c), les articles 13, 1, d) et 14, 2, b), imposent au responsable de l’informer des intérêts légitimes qu’il poursuit. Le Comité ajoute que ce dernier peut l’informer de la mise en balance effectuée, conformément au principe d’accountability de l’article 5, 2, du RGPD : cette information est fortement conseillée afin de répondre aux attentes légitimes de la personne et de lui éviter toute surprise (§ 68).

Droit d’opposition. Si la base légale du traitement est l’intérêt légitime, la personne concernée peut s’y opposer (RGPD, art. 21, 1). Dans ce cas, le traitement doit être suspendu à moins que le responsable de traitement prouve l’existence d’intérêts légitimes impérieux qui prévalent sur les intérêts, droits et libertés de la personne (RGPD, consid. 69). Le Comité souligne que cette notion est indépendante de celle prise en compte dans la balance des intérêts opéré préalablement au traitement : le caractère « impérieux » des intérêts invoqués ne s’applique qu’aux intérêts légitimes « essentiels » (§ 73).

Décision individuelle automatisée. L’article 22 du RGPD confère aux personnes le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, sauf exceptions prévues au paragraphe 2 notamment si la décision autorisée par le droit de l’Union ou de l’État membre auquel est soumis le responsable de traitement (art. 22, b). Toutefois, la Cour de justice explique, concernant l’article 6, 1, f) du RGPD, que « les États membres ne sauraient [à ce titre] s’écarter des exigences résultant de la jurisprudence de la Cour […], notamment, en prescrivant de manière définitive le résultat de la pondération des droits et des intérêts en cause » (CJUE 7 déc. 2023, préc., pt 70). Le Comité ajoute que la condition de l’article 22, 2, b), ne peut être considérée comme remplie simplement en raison de la possibilité d’utiliser l’intérêt légitime comme base légale du traitement (§ 81). Il donne ensuite des exemples d’éléments pertinents pour apprécier la balance à opérer avec les intérêts, droits et libertés de la personne concernée prévue par l’article 22, 3, du RGPD lorsque la base légale est l’intérêt légitime : le niveau de détail du profil, son exhaustivité ou encore ses effets sur la personne (§ 82).

L’application de cette base légale dans divers contextes

Traitement de données personnelles de mineurs. Les mineurs constituent une catégorie de personnes vulnérables à raison de leur jeune âge. À ce titre, ils bénéficient d’une protection particulière (RGPD, consid. 38) notamment dans le cadre de la mise en balance de leurs intérêts ou droits et libertés fondamentaux et des intérêts légitimes poursuivis par le responsable (CJUE 4 juill. 2023, préc., pt 111). L’article 6, 1, f) insiste sur l’importance de cette mise en balance « lorsque la personne concernée est un enfant », ce qu’affirmait déjà le G29 (avis n° 2/2009 sur la protection des données à caractère personnel des enfants, 11 févr. 2009). Selon le CEPD, cette disposition doit dès lors être interprétée à la lumière de l’article 24, alinéa 2, de la Charte des droits fondamentaux de l’Union européenne relatif à l’intérêt supérieur de l’enfant (§ 93) et en considération des droits garantis par la Convention internationale des droits de l’enfant (note 114). Cet intérêt devrait donc prévaloir sur ceux du responsable de traitement ou des tiers dans le cadre de l’utilisation de l’article 6, 1, f). Si cependant cette disposition est utilisée, il devra alors « s’assurer et pouvoir démontrer que l’intérêt supérieur de l’enfant a été pris en compte en tant que considération primordiale et que des garanties appropriées sont en place » (§ 96), l’appréciation de leurs intérêts ou de leurs espérances légitimes variant, eu égard notamment à leur âge (§ 97).

Prévention de la fraude. Le considérant 47 du RGPD reconnaît que la prévention de la fraude peut constituer un intérêt légitime – le CEDP développe des éléments de définition (§ 102) –, mais les trois conditions pour en faire une base légale restent applicables et appréciées strictement (§ 100). L’article 6, 1, c), semble plus approprié lorsque la détection de la fraude est une obligation légale (§ 107). Conformément au principe de minimisation, le traitement doit être « strictement nécessaire » à cet objectif (RGPD, consid. 47). Dans le cadre de la mise en balance des intérêts, le Comité admet que celui du responsable peut l’emporter sur ceux des personnes concernées, mais il fixe des conditions. Le responsable doit traiter des données « exactes et manifestement pertinentes pour déterminer si une personne concernée risque d’être victime d’une fraude » ou si elle est fiable ainsi que préciser le type de fraude à prévenir – celle-ci devant être d’une « importance substantielle » – et les données nécessaires pour y parvenir (§ 105).

Objectifs de marketing direct. Les objectifs de marketing direct, tels que la publicité ciblée (CJUE 4 juill. 2023, préc., pt 115), sont également considérés comme de potentiels intérêts légitimes (RGPD, consid. 47) mais la preuve doit en être apportée (§ 112). Le consentement apparaît souvent comme une base légale plus appropriée (§ 111) : lorsqu’il est requis par le droit national ou européen pour certains traitements, l’article 6, 1, f) ne peut en constituer la base légale (§§ 113 s.). La directive Privacy est citée en ce sens à de nombreuses reprises. De plus, dans le cadre de la mise en balance des intérêts, le caractère intrusif de certaines pratiques marketing doit être pris en compte et risque d’empêcher l’utilisation de l’article 6, 1, f) (§ 120). Enfin, le CEPD souligne le droit inconditionnel de s’opposer au traitement de données personnelles à des fins de marketing direct découlant de l’article 21, 2, du RGPD, rendant inutile toute balance des intérêts, peu importe la présence d’intérêts légitimes impérieux (§ 122).

Fins administratives internes au sein d’un groupe d’entreprises. Le considérant 48 admet que les responsables de traitement faisant partie d’un groupe d’entreprises aient un intérêt légitime à transmettre des données personnelles en son sein à des fins administratives internes, ce qui facilite la caractérisation de la première condition (§ 123).

Intérêts des autorités. L’article 6, 1, f) ne s’applique pas aux traitements effectués par les autorités publiques (art. 6,1, al. 2), mais le CEPD admet que ces dernières puissent fonder la licéité des traitements sur cette disposition pour d’autres activités que celles liées à leurs prérogatives (§ 99). La transmission des données à des autorités compétentes peut également constituer un intérêt légitime.

D’une part, pour leur révéler l’existence d’infractions pénales ou de menaces pour la sécurité publique, est possible la transmission des données concernées « dans des cas individuels ou dans plusieurs cas relatifs à une même infraction pénale ou à des mêmes menaces pour la sécurité publique », sauf incompatibilité avec une obligation de confidentialité contraignante (RGPD, consid. 50). Toutefois, tous les responsables de traitement ne sont pas concernés, notamment lorsque cet intérêt est étranger à leur activité économique ou commerciale (CJUE 4 juill. 2023, préc., pt 124), mais ils peuvent se fonder sur l’article 6, 1, c), s’ils sont soumis à une obligation légale en ce sens (CJUE 4 juill. 2023, préc., pt 124). Le CEPD prend l’exemple d’une cyberattaque que le responsable notifie à l’autorité supérieure avec les données personnelles nécessaires pour en mesurer les conséquences, conformément à l’article 6(1)(c) : la transmission aux autorités policières d’autres données liées à la cyberattaque, notamment celles de son auteur, peut être fondée sur l’article 6, 1, f) si les conditions sont remplies (§ 132, ex. 8).

D’autre part, les autorités d’un État tiers à l’Union peuvent requérir la transmission de données auprès d’un responsable de traitement (§ 133) dans le cadre de la coopération internationale par exemple. Celui-ci doit d’abord vérifier si d’autres bases légales sont possibles avant de se fonder sur l’intérêt légitime (§ 134). Ce dernier peut être caractérisé si le responsable est soumis à la loi d’un État tiers susceptible de le sanctionner à défaut de transmission (§ 135), mais il y a deux limites : d’une part, les intérêts ou droit et libertés fondamentaux de la personne concernée prévalent toujours sur l’intérêt du responsable (§ 136) ; d’autre part, le responsable doit se conformer au chapitre V du RGPD relatif aux transferts des données vers des pays tiers (§ 137).

Sécurité du réseau et des informations. Le traitement aux fins de garantir la sécurité du réseau et des informations constitue un intérêt légitime (RGPD, consid. 49), conformément à l’obligation de sécurité incombant au responsable de traitement pour éviter toute divulgation non autorisée de données (art. 32) et dans la logique de l’approche par les risques adoptée par le règlement (A. Latil, Le droit du numérique : une approche par les risques, Dalloz, 2023). Il n’en reste pas moins que les conditions de nécessité et de mise en balance doivent être remplies (§ 127), notamment au regard de l’existence de moyens moins attentatoires aux droits des personnes concernées (CJUE 4 juill. 2023, préc., pts 119 s.).

Conclusion

Ces lignes directrices sont les bienvenues en ce qu’elles permettent à l’ensemble des responsables de traitement, à qui incombe la tâche de choisir la base légale du traitement souhaité, d’avoir une meilleure vision en la matière grâce à des explications développées, des exemples pratiques et des conseils. Certes, des questions préjudicielles continueront à être posées à la Cour de justice, mais – on peut l’espérer – uniquement quant à des situations spécifiques : les « incohérences » dénoncées par le G29 dans son avis 06/2014 précité n’ont plus vocation à être. L’objectif est ainsi de renforcer la sécurité et la prévisibilité juridiques, l’application cohérente du RGPD, de même que l’égalité entre les citoyens de l’Union.

 

CEPD, Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, 8 oct. 2024

© Lefebvre Dalloz