Le 25 mai 2018, lorsque le Règlement Européen sur la Protection des Données entrera en vigueur, les entreprises pourront effectuer un traitement portant sur des données personnelles dans trois cas : lorsqu’elles recueillent le consentement explicite de la personne concernée, lorsque le traitement est nécessaire à l’exécution du contrat ou lorsque celui-ci présente un intérêt légitime pour l’entreprise. Mais qu’est-ce qu’un intérêt légitime ? Lorsqu’on creuse la question, on se rend rapidement compte que celui-ci est très large … un bon moyen pour se passer du consentement ?

 

Intérêt légitime : les formes classiques

Le responsable de traitement peut se trouver face à des situations qui présentent des risques sur son activité. Dans ce cadre, il est normal qu’il puisse invoquer son « intérêt légitime » à traiter des données sans qu’il ne soit nécessaire d’obtenir le consentement des personnes concernées, ni nécessaire à l’exécution d’un contrat.

Les formes classiques d'intérêt légitime que peuvent soulever les entreprises pour se passer du recueil du consentement

Sont également pris en compte les risques portant sur les intérêts publics et relevant de l’intérêt légitime du responsable de traitement, lesquels doivent être préservés par la transmission aux autorités concernées de « l’existence d’éventuelles infractions pénales ou de menaces pour la sécurité publique » (considérant 50). Toutefois, le règlement dispose que cette transmission « devrait être interdit[e] lorsque le traitement est incompatible avec une obligation de confidentialité légale, professionnelle ou toute autre obligation de confidentialité contraignante ».

La problématique réside dans l’utilisation du terme « devrait ». Pourquoi le règlement n’a-t-il pas clairement posé le principe selon lequel un professionnel soumis à une obligation de confidentialité (un avocat par exemple) ne peut invoquer un tel intérêt légitime ? La réponse se trouve sûrement dans l’article 90 du règlement qui laisse la possibilité aux Etats membres de choisir de réglementer ou ne pas réglementer la conciliation entre le droit à la protection des données à caractère personnel et l’obligation de secret. Sur ce point, les entreprises devront attendre que le parlement légifère.

 

L’attente raisonnable de la personne à un traitement de ses données : quelle appréciation ?

« Les intérêts légitimes d’un responsable du traitement […] peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. » (Considérant 47).

Ainsi, l’intérêt légitime ne peut être allégué par le responsable de traitement lorsqu’il est supérieur aux intérêts, droits et libertés fondamentaux de la personne sur laquelle portent les données. Or, comment apprécier quelles nuisances sont supérieures à quels avantages ? Le texte ne répond à cette question que très vaguement en soulevant l’attente raisonnable de la personne à un traitement de ses données. Le problème est que les entreprises ne disposent d’aucun moyen pour apprécier si une personne peut « raisonnablement » s’attendre à ce que ses données soient traitées. Des exemples auraient été les bienvenus.

Prospection commerciale : un intérêt légitime pour le Règlement, mais pas pour la CNIL

Sur ce point, il y a une certaine divergence de position entre la CNIL et le Règlement.

Pour la CNIL, le principe est qu’il n’y a pas de message commercial sans accord préalable du destinataire, accord qui doit être explicite. Cette condition n’est pas requise si la personne prospectée est déjà cliente de l’entreprise et si la prospection porte sur des produits qui sont analogues à ceux déjà acquis par le client, ou si la prospection n’est pas de nature commerciale. Pour résumer, la base légale en matière de prospection est celle du consentement.

Dans un premier temps, on peut penser que le règlement correspond aux recommandations de la CNIL. Celui-ci prend pour exemple de l’intérêt légitime une « relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service ». On peut interpréter cette disposition comme concordant avec la position de la CNIL sur une prospection portant sur des produits analogues à ceux déjà acquis par un client.

Toutefois, le règlement européen ne conditionne pas la prospection hors client au recueil du consentement, à l’instar de la CNIL.

« Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime » (considérant 47).

Comme vu plus haut, si l’on se base sur l’intérêt légitime du responsable de traitement, le consentement n’est pas requis. Seule l’information sur la possibilité de s’opposer au traitement l’est. Or, cela n’empêche en aucun cas la première vague de prospection. Et puisque les instructions données par la CNIL ont une plus faible valeur que le règlement européen, il y a fort à parier que le consentement ne sera plus demandé en matière de prospection commerciale.

 

A noter que les lignes directrices du G29 sur le consentement sont en cours d’élaboration. Il faut espérer qu’elles apporteront plus de précisions quant aux cas dans lesquels son recueil sera nécessaire, et donc a contrario les cas dans lesquels les responsables de traitement pourront invoquer leur intérêt légitime.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *