Le règlement 2016-679 sur la protection des données abandonne le principe du recueil du consentement comme base légale du traitement. Il défini à l’article 6 les conditions de licéité d’un traitement en conférant aux différentes conditions qu’il détermine, la même valeur.
C’est ainsi que la condition relative au consentement est traitée comme la condition relative à la poursuite par le responsable de traitement d’intérêts légitimes.
Le responsable du traitement qui envisage de fonder son traitement sur la poursuite d’intérêts légitimes devra s’assurer que les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent pas sur les intérêts légitimes qu’il entend poursuivre.
Pour ce faire, le responsable devra effectuer le test de la balance des intérêts.
Le test de la balance des intérêts
Le test de la balance des intérêts implique d’analyser la légitimité de l’intérêt poursuivi par le responsable de traitement ; en relation avec les intérêts, droits et libertés des personnes concernées. Le groupe de l’article 29 a établi un document de travail sur la notion d’intérêt légitime (WP217, Avis 06/2014) sous l’empire de la directive ; il peut tout à fait servir de référence pour l’appréciation du règlement.
Dans ce document, il précise que : « Pour être pertinent au regard de l’article 7, point f), un « intérêt légitime » doit donc: – être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné) ; – être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis) ; – constituer un intérêt réel et présent (c’est-à-dire non hypothétique) ».
Outre le caractère légitime de l’intérêt poursuivi, il est précisé que le traitement doit être nécessaire à la(aux) finalité(s) visée(s).
Le traitement des données à caractère personnel doit aussi être « nécessaire à la réalisation de l’intérêt légitime » poursuivi par le responsable du traitement ou – en cas de communication des données – par le tiers.
Ainsi, il doit exister un lien entre le traitement et l’intérêt poursuivi. Le but, garantir que le traitement des données fondé sur l’intérêt légitime ne débouche sur une interprétation trop large de la notion. Il y a alors lieu d’examiner s’il existe d’autres moyens protégeant la vie privée susceptibles de servir la même finalité.
Sont donc visés non seulement les droits et libertés de la personne mais également les intérêts entendus de manière large. Tous les intérêts pertinents de la personne concernée devraient être pris en compte.
Les garanties adéquates
Une fois identifié l’intérêt légitime du responsable et/ou du destinataire permettant d’opérer la balance des intérêts, il faut prendre en compte :
- la nature des données analysées ainsi que leurs modalités de traitement (par exemple, si elles visent à déterminer un comportement ou la personnalité d’une personne) ;
- les attentes raisonnables de la personne concernées ;
- le statut de la personne concernée et du responsable de traitement (notamment au regard de la position « prédominante » du responsable de traitement).
Il convient de noter que les garanties et les mesures adéquates prises par le responsable de traitement peuvent influer ; notamment dans le cas d’une ingérence même grave dans la vie privée et d’intérêts impérieux poursuivis par le responsable. Cela peut réduire les incidences du traitement et modifier l’équilibre des droits et intérêts, faisant prévaloir celui du responsable prévaut.
Si les garanties prises ne suffisent pas à justifier à elles seules n’importe quel traitement, elles peuvent en atténuer l’effet. Elles peuvent conduire à faire prédominer l’intérêt du responsable de traitement dans l’analyse de la balance des intérêts.
Céline Avignon
Lexing Publicité et marketing électronique