L’utilisation de l’intérêt légitime comme base légale pour un traitement de données personnelles nécessite une approche rigoureuse et une pondération entre les intérêts de l’organisme traitant et les droits des personnes concernées.

Qui peut utiliser la base légale “intérêt légitime” ?

Cette base légale peut être employée par des organismes privés pour fonder des traitements qui ne portent pas atteinte de manière significative aux droits et intérêts des personnes concernées. Cependant, elle n’est pas disponible pour les autorités publiques dans l’exécution de leurs missions, à moins de circonstances particulières.

Conditions pour l’application de la base légale “intérêt légitime”

Le recours à cette base légale est assujetti à trois conditions principales :

1. Caractère Légitime de l’Intérêt : L’intérêt poursuivi par l’organisme doit être considéré comme légitime au regard du droit, clairement défini et réel pour l’organisme concerné.
2. Nécessité du Traitement : Le traitement doit être nécessaire pour atteindre l’objectif légitime poursuivi par l’organisme, sans viser d’autres objectifs superflus. De plus, l’organisme doit prouver qu’il n’existe pas de moyen moins intrusif pour atteindre cet objectif.
3. Respect des Droits et Intérêts des Personnes Concernées : Le traitement ne doit pas porter atteinte de manière disproportionnée aux droits et intérêts des personnes dont les données sont traitées. L’organisme doit prendre en compte leurs attentes raisonnables et peut envisager des mesures compensatoires pour limiter les impacts du traitement.

Conséquences du choix de cette base légale

Pour les organismes traitant les données, les traitements fondés sur l’intérêt légitime ne sont pas soumis au mécanisme de coopération du guichet unique, et la CNIL reste seule compétente à leur égard. Cependant, tous les droits des personnes concernées peuvent être exercés, sauf le droit à la portabilité.

Quels sont les droits, libertés et intérêts des personnes à prendre en compte ?

Lorsque l’organisme souhaite fonder un traitement sur son intérêt légitime, il doit tenir compte des droits, libertés et intérêts des personnes concernées, conformément à l’article 6.1.f) du RGPD.

Atteintes aux Droits et Intérêts des Personnes

1. Droit à la Protection des Données et à la Vie Privée : L’organisme doit s’assurer que le traitement envisagé ne porte pas atteinte de manière manifeste au contenu essentiel de ces droits. Cela implique de prendre en considération les grands principes du RGPD et ses lignes directrices principales.
2. Autres Droits Fondamentaux : Le traitement ne doit pas porter atteinte aux autres droits fondamentaux, tels que la liberté d’expression, la liberté d’information, ou encore les droits de l’enfant et des personnes âgées.
3. Intérêts des Personnes : L’impact du traitement sur la situation particulière des personnes concernées doit être évalué. Par exemple, si le traitement entraîne un préjudice financier ou prive les individus de l’accès à un service essentiel, les intérêts des personnes peuvent prévaloir sur l’intérêt légitime de l’organisme.

Attentes Raisonnable des Personnes

Les attentes raisonnables des personnes doivent être prises en compte par le responsable du traitement. Il s’agit de ce à quoi une personne peut légitimement s’attendre concernant le traitement de ses données, en fonction du contexte de la collecte. Si le traitement ne correspond pas à ces attentes raisonnables, les intérêts et droits des personnes auront tendance à prévaloir sur l’intérêt de l’organisme.

Mesures Compensatoires en Cas de Déséquilibre

En cas de déséquilibre entre les intérêts et droits en cause, le responsable du traitement doit prévoir des mesures compensatoires pour limiter l’incidence du traitement sur les personnes concernées et atteindre ainsi un équilibre. Ces mesures additionnelles ne doivent pas se confondre avec les mesures de mise en conformité avec le RGPD, mais visent à assurer un respect accru des droits et intérêts des personnes.