Un intérêt commercial comme intérêt légitime dans la RGPD ?

Conclusions de la CJUE dans l'affaire KNLTB et projet de lignes directrices de l'EDPB

Conclusions de la CJUE dans l'affaire KNLTB et projet de lignes directrices de l'EDPB

Le 4 octobre 2024, la Cour de justice de l'Union européenne (CJUE) a rendu une décision dans l'affaire Koninklijke Nederlandse Lawn Tennisbond contre l'Autorité néerlandaise des données personnelles (“l’affaire KNLTB"). Cette décision, attendue depuis longtemps, lève, du moins partiellement, une certaine ambiguïté autour du motif juridique "intérêt légitime" de l'article 6.1 f) du RGPD. Nous expliquons ci-dessous cet arrêt et prenons en compte le nouveau projet de lignes directrices de l'EDPB sur le motif juridique de “l'intérêt légitime".

Par Seliha Buelens et Bernd Fiten, avocats chez Timelex

De quoi s'agit-il ?

L'AP a jugé que la vente de données personnelles à des sponsors ne constitue pas un intérêt légitime.

L'Autorité néerlandaise des données personnelles (AP) a infligé une amende à l'Association royale néerlandaise de tennis sur gazon (KNLTB) pour la vente illégale par la KNLTB de données personnelles de ses membres à des sponsors.

La vente de données personnelles est un traitement de données personnelles soumis au Règlement Général sur la Protection des Données (RGPD). La KNLTB agit en tant que responsable du traitement pour ce traitement et doit donc s'appuyer sur une base juridique appropriée au titre de l'article 6.1 a) à f) du RGPD. L'un des bases juridiques possibles est l'intérêt légitime du responsable du traitement (article 6.1 f) du RGPD). La KNLTB a invoqué le motif juridique "intérêt légitime" pour la vente des données à caractère personnel de ses membres à des sponsors.

Cependant, selon l'AP, le motif juridique "intérêt légitime" n'était pas approprié pour cette vente. L'AP a jugé que l'intérêt du responsable du traitement (c'est-à-dire la KNLTB dans ce cas) doit être prescrit par la loi pour être justifié. L'AP a estimé que seuls les intérêts prescrits dans la législation (générale) ou ailleurs dans la loi peuvent être considérés comme des intérêts légitimes. L'AP a donc interprété le motif juridique "intérêt légitime" de manière restrictive. Par conséquent, l’AP a jugé que le consentement des personnes concernées était nécessaire pour vendre leurs données personnelles à des sponsors.

KNLTB a contesté la décision et le tribunal d'Amsterdam a posé une question préliminaire

La KLNTB a contesté la décision de l'AP devant le tribunal d'Amsterdam. Ce dernier a ensuite posé une question préjudicielle à la Cour de justice de l'Union européenne (CJUE). La question préjudicielle porte, d'une part, sur la signification du terme "intérêt légitime", étant donné que le RGPD ne fournit pas de définition de ce terme, et, d'autre part, sur la compatibilité éventuelle d'un intérêt légitime avec un intérêt commercial.

En d'autres termes, le RGPD permet-il qu'un intérêt purement commercial puisse également être un intérêt légitime ?

Quelle a été la décision de la Cour ?

La Cour juge qu'un intérêt commercial peut tout à fait être un intérêt légitime

La question de savoir si un intérêt purement commercial peut également être un intérêt légitime a toujours reçu une réponse négative de la part de l'AP. Il ressort de l'affaire KNLTB que cette position n'est pas en conformité avec le RGPD.

Dans l'affaire KNLTB, la Cour a estimé qu'un objectif purement commercial peut effectivement constituer un intérêt légitime. La Cour s'est référée au considérant 47 RGPD et a jugé qu'un intérêt légitime ne doit pas nécessairement être prescrit par la loi, contrairement à l'avis de l'AP. Il s'agit d'un test négatif, c'est-à-dire qu'une série d'intérêts peuvent être considérés comme justifiés, pour autant qu'ils ne sont pas contraires à la loi.

Ainsi, tant que l'intérêt poursuivi ne viole aucune loi, il est en principe justifié et ne peut être exclu a priori. Il s'ensuit que des intérêts commerciaux tels que la mise à disposition d'espaces publicitaires à des fins commerciales et de promotions personnalisées, ou la vente de données personnelles afin de pouvoir envoyer des publicités ciblées par courrier aux personnes concernées peuvent donc être des intérêts légitimes, selon la Cour.

Le test en trois étapes pour déterminer si un intérêt commercial est approprié pour servir de base juridique

Toutefois, le fait qu'un intérêt commercial puisse être légitime ne signifie pas que tout intérêt légitime puisse également servir de base juridique dans le cadre du RGPD.

En effet, pour qu'un intérêt purement commercial puisse également servir de base juridique dans le cadre du RGPD, un test en trois étapes, à savoir une “évaluation de l’intérêt légitime” (EIL), doit être effectué. Le test en trois étapes est réussi si trois conditions sont remplies. La Cour l'a réaffirmé dans l'affaire KNLTB. Les trois conditions cumulatives sont les suivantes :

  1. L'intérêt légitime du responsable du traitement ou d'un tiers doit être présent (le "test de finalité") ; et
  2. Le traitement des données à caractère personnel doit être nécessaire à la poursuite de l'intérêt légitime (le "test de nécessité") ; et
  3. La pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux des personnes concernées pèse en faveur du responsable du traitement (le "test de pondération").

Si chacune de ces trois conditions cumulatives est remplie, la finalité commerciale constitue un fondement juridique légitime pour le traitement des données à caractère personnel au sens de l'article 6.1 f) du RGPD. Alors que dans le passé, la Cour a déclaré que les bases juridiques de l'article 6.1 RGPD devaient être interprétées de manière stricte, dans l'affaire KNLTB, elle fournit une base légale assez large permettant aux organisations commerciales de s'engager dans le traitement de données à caractère personnel.

L'Autorité belge de protection des données a également déjà statué qu'un intérêt commercial peut être justifié

L’Autorité de protection de données (APD) a déjà statué par le passé, notamment dans la décision 46/2024, qu'un intérêt purement commercial peut être considéré comme un intérêt légitime.

La décision concernait une banque qui traitait des données personnelles pour construire des modèles de données dans le but d'offrir des réductions personnalisées pour des produits et services de tiers. L’APD a jugé que cet intérêt purement commercial visait à se positionner sur le marché, en tenant compte des activités des concurrents, et a appliqué le test en trois étapes. La banque a donc été autorisée à invoquer son intérêt légitime à traiter des données personnelles au vu de la création de ces modèles de données. En ce qui concerne l'offre même de ces réductions personnalisées à ses clients, leur consentement était nécessaire. En effet, cette publicité sur mesure relève du marketing direct classique et personnalisé pour lequel la banque doit donc demander le consentement préalable de la personne concernée.

Ainsi, un intérêt purement commercial peut constituer un intérêt légitime selon l’APD, du moins en ce qui concerne la création de modèles de données pour offrir des réductions personnalisées.

Que dit le Comité Européen de la Protection des Données (EDPB) à ce sujet ?

Projet de lignes directrices de l'EDPB sur la base juridique de l'intérêt légitime

Le 8 octobre 2024, l'EDPB a publié les lignes directrices 01/2024 sur le traitement des données à caractère personnel fondé sur l'article 6.1 f) du RGPD, c'est-à-dire sur le motif juridique de "l'intérêt légitime". L'objectif de ce projet de lignes directrices est de clarifier les conditions qu'un responsable du traitement doit remplir pour pouvoir invoquer son intérêt légitime en tant que motif légal en vertu du RGPD.

Que dit le projet de lignes directrices de l'EDPB ?

L'EDPB confirme également que la légalité de l'intérêt légitime du responsable du traitement doit être évaluée à l'aide du test en trois étapes susmentionné. Il s'agit donc d'une question à laquelle il convient de répondre au cas par cas. L'EDPB détaille ensuite chacune des trois conditions cumulatives (présence d'un intérêt, nécessité et proportionnalité). En ce qui concerne le critère de nécessité, l'EDPB rappelle le principe fondamental du traitement minimal des données. En ce qui concerne le critère de proportionnalité, il est important de tenir compte des attentes raisonnables des personnes concernées.

Les lignes directrices examinent également les droits dont jouissent les personnes concernées en vertu du RGPD, tels que (sans toutefois s'y limiter) le droit d'accès et d'effacement des données, et la manière dont ces droits sont proportionnés au traitement des données fondé sur l'intérêt légitime. Enfin, ils examinent certaines situations courantes et les préoccupations qui en découlent. Par exemple, l'EDPB fournit des orientations supplémentaires dans le cas de données à caractère personnel relatives à des enfants, ou d'objectifs de marketing direct du responsable du traitement en tant qu'intérêt légitime.

Quelques commentaires sur le projet de lignes directrices de l'EDPB

Nous remarquons qu'au moment de la rédaction de ce texte, cette version des lignes directrices est encore ouverte à la consultation publique. Le texte de la version finale des lignes directrices pourrait donc encore changer. Dans ce contexte, nous formulons quelques observations.

Les intérêts commerciaux doivent être liés aux activités économiques du responsable du traitement, mais qu'en est-il des activités d'un tiers ?

Tout d'abord, les lignes directrices proposées indiquent que les intérêts légitimes des responsables de traitement à vocation économique et commerciale doivent être limités à "leurs" activités économiques. Toutefois, le RGPD autorise également le traitement de données à caractère personnel sur la base de l'intérêt légitime d'un tiers.

Lorsque le responsable du traitement se fonde sur la poursuite des intérêts légitimes d'un tiers, il n'est pas certain que la même restriction s'applique. L'intérêt poursuivi par un tiers doit-il correspondre à la finalité et aux moyens du responsable du traitement pour que l'intérêt poursuivi soit justifié ? Quelle doit être la nature de la relation entre le responsable du traitement et le tiers ? La question se pose donc de savoir dans quels cas un responsable du traitement peut s'appuyer sur la poursuite de l'intérêt légitime d'un tiers d’une manière licite.

Le projet de lignes directrices pourrait apporter plus de clarté sur le test de pondération dans le cas des personnes vulnérables.

En outre, l’EDPB accorde une attention particulière aux traitements fondés sur l'intérêt légitime et lorsque les personnes concernées sont des enfants, c'est-à-dire une catégorie vulnérable de personnes concernées en vertu du RGPD. L'EDPB souligne que ces traitements nécessitent un test de pondération minutieux (en tant que troisième condition du test en trois étapes). Toutefois, l’EDPB n'envisage pas de situations de traitement similaires impliquant d'autres catégories vulnérables de personnes concernées.

Le projet de lignes directrices reconnaît implicitement les employés comme une catégorie vulnérable de personnes concernées au paragraphe 47. En effet, le projet de lignes directrices souligne que le contexte spécifique d'une situation de traitement devrait être pris en compte lors de la mise en œuvre du test de pondération, étant donné que chaque personne concernée a des intérêts différents. L'EDPB précise en outre que cela s'applique certainement à une relation employeur-employé, mais aucune précision supplémentaire n'est apportée en ce qui concerne d'autres personnes concernées potentiellement vulnérables.

Par exemple, les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) du prédécesseur de l'EDPB (GT29) indiquent que non seulement les enfants et les travailleurs, mais aussi au moins les personnes souffrant de maladie mentale, les demandeurs d'asile, les personnes âgées et les patients doivent être considérés comme des personnes vulnérables. Rien n'est dit à ce sujet dans le projet de lignes directrices de l'EDPB. Pourtant, cela revêt une grande importance pour les responsables du traitement des données, étant donné la nécessité de prendre des mesures supplémentaires d'atténuation des risques dans ce contexte.

Le projet de lignes directrices pourrait apporter plus de clarté sur les mesures possibles d'atténuation des risques

Enfin, il est regrettable qu'il n'y ait pas plus de clarté sur les mesures possibles d'atténuation des risques. Si, lors de la réalisation d'un EIL, il s'avère que les libertés et droits fondamentaux d'une personne concernée l'emportent sur l'intérêt légitime du responsable du traitement, ce dernier pourrait prendre des mesures d'atténuation pour protéger ces droits et libertés afin de faire pencher le test de mise en balance en sa faveur. Dans ce cas, après avoir pris des mesures supplémentaires, le responsable du traitement pourrait encore traiter les données à caractère personnel en question sur la base du motif juridique de "l'intérêt légitime". Bien qu'il soit avancé que ces mesures d'atténuation ne devraient pas constituer des obligations découlant du RGPD, l'EDPB ne fournit pas d'autres exemples qui pourraient être considérés comme des mesures d'atténuation des risques.

Quelques points à noter concernant l'intérêt commercial en tant qu'intérêt légitime

Les responsables du traitement des données, et en particulier les organisations commerciales telles que les entreprises, bénéficient ainsi de la confirmation qu'un intérêt commercial peut également être un intérêt légitime. Toutefois, il convient de prêter une attention particulière à un certain nombre de questions :

  • Bien qu'il n'y ait pas, à proprement parler, de hiérarchie entre les différents motifs juridiques de l’article 6.1 du RGPD, l'EDPB semble suggérer que le responsable du traitement aurait dû vérifier s'il n'existait pas d'autre moyen, moins intrusif, de poursuivre son intérêt commercial que d'invoquer son intérêt légitime. Cela découle du fait que, selon l'EDPB, le motif juridique "intérêt légitime" ne doit pas servir de dernier recours pour des situations de traitement inattendues en cas d'échec des cinq autres motifs juridiques, et ne doit pas non plus être un choix automatique du responsable du traitement. En outre, le test de nécessité (la deuxième condition du test en trois étapes) et le principe associé de traitement minimal des données revêtent une grande importance.
  • Si le responsable du traitement invoque son intérêt légitime, il est conseillé non seulement d'effectuer l'EIL susmentionné avec soin, mais aussi de le documenter méticuleusement, notamment en cas d'inspection éventuelle par une autorité de contrôle compétente. Un EIL documenté peut également aider le responsable du traitement à répondre à la demande d'une personne concernée, même si cette dernière n'a pas le droit de recevoir une copie de l'EIL ou de le consulter.
  • Au cours du test de pondération (la troisième condition du test en trois étapes), le responsable du traitement des données ayant un intérêt légitime sur le plan commercial doit accorder une attention supplémentaire à la nature des personnes concernées, et plus particulièrement à la possibilité que des données à caractère personnel concernant des catégories de personnes vulnérables soient traitées. En effet, ces personnes sont plus susceptibles de voir leurs libertés et droits fondamentaux violés. Il convient donc d'en tenir compte lors de la mise en balance de l'intérêt légitime commercial et des droits et libertés fondamentaux des personnes vulnérables.

Conclusion

Un intérêt purement commercial peut donc être considéré comme un intérêt légitime au sens du RGPD. Du moins, cela n'est pas fondamentalement exclu, contrairement à l'avis de l'Autorité néerlandaise des données personnelles. L'arrêt KNLTB confirme que les organisations commerciales peuvent également traiter des données à caractère personnel sur la base d'un intérêt légitime, à condition que les mesures nécessaires soient prises et que certaines conditions telles que le test en trois étapes soient prises en compte. Ceci est également confirmé par l'EDPB dans le projet de lignes directrices correspondant. En outre, dans l'affaire KNLTB, la Cour souligne l'importance de protéger les libertés et les droits fondamentaux des personnes concernées. Cela nécessite une évaluation au cas par cas qui, dans le contexte de la responsabilité, vaut mieux documentée dans une EIL. Par conséquent, on ne saurait trop insister sur l'importance des EIL pour les entreprises et autres organisations engagées dans le traitement de données à des fins commerciales.

More Partner Blogs


21 janvier 2025

Simplified reimbursement of home-charging costs based on CREG tariffs confirmed for 2025

With the rise of hybrid and electric vehicles, reimbursing home charging electricity costs has...

Lire la suite...

21 janvier 2025

24 hours, 72 hours, 1 month: the reporting of cyber incidents under NIS2

This blog post discusses the updated cyber incident reporting obligations introduced by the NIS2...

Lire la suite...

20 janvier 2025

Looking ahead 2025: European Union employment law

European Union employment law

Lire la suite...

17 janvier 2025

The European Union tackles greenwashing and planned obsolescence

The European Union has reaffirmed its commitment to promoting more responsible and sustainable...

Lire la suite...

13 janvier 2025

La conformité est devenu encore plus importante depuis le 1er janvier 2025, afin de limiter les risques de responsabilité pour l'entreprise et ses dirigeants.

La conformité (aussi appelée « compliance ») signifie littéralement « respect » ou « accomplissement ».

Lire la suite...