La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaiseAutoriteit Persoonsgegevens– a sanctionné la société de diffusion de matchs de football amateur Voetbal TV pour violation des règles de protection des données personnelles. La sanction ayant coûté 575 000 euros à la société, celle-ci a alors déposé le bilan.

Des enregistrements de vidéos de matchs de football amateur étaient diffusés sur la plateforme, permettant à ses membres d’interagir, pour le compte du club de football. À l’occasion de ces enregistrements des personnes étaient automatiquement filmées, sans qu’aucune base légale de traitement ne soit mentionnée par Voetbal TV.

Sommaire

1. La décision de l’Autorité de Protection néerlandaise
a) Motivation de la décision
b) L’avis du Conseil d’État néerlandais
2. Analyse de la décision
a) La notion d’intérêt légitime
b) Une base juridique controversée
c) Le triple test de la Cour de justice de l’Union européenne (CJUE)
d) Les garanties
Conclusion

1. La décision de l’Autorité de Protection néerlandaise

a) Motivation de la décision

La plateforme avait fondé les traitements d’enregistrement et d’analyse de vidéos sur l’intérêt légitime de défense de ses intérêts commerciaux. L’autorité néerlandaise a considéré que les intérêts commerciaux ne pouvaient pas constituer un intérêt légitime au traitement de données personnelles et a donc retenu un manquement à l’article 6 du Règlement Général sur la Protection des Données (RGPD).

Selon cette autorité, l’intérêt légitime constitue un intérêt légal dans la législation. Il s’agit d’un intérêt protégé par la loi, considéré comme digne de protection et qui doit être respecté et exécuté. Il doit s’agir d’un intérêt urgent, spécifique et inévitable.

Elle en a alors conclu que les intérêts d’une entreprise liés aux aspects financiers n’étaient pas suffisamment spécifiques et ne possédaient pas de caractère juridique urgent.

La position critiquée de l’autorité néerlandaise a donné lieu à une bataille juridique ayant abouti sur un jugement inverse. La Commission européenne a présenté ses inquiétudes quant à l’interprétation de l’intérêt légitime par cette autorité. Le 27 juillet 2022, le Conseil d’État néerlandais est venu annuler l’amende prononcée par l’autorité de protection néerlandaise.

Les questions sont les suivantes :

  • l’intérêt légitime doit-il se fonder sur une disposition légale ?
  • un intérêt commercial peut-il constituer un intérêt légitime ?

b) L’avis du Conseil d’État néerlandais

Le Conseil d’État néerlandais a considéré que le responsable de traitement devait indiquer quels étaient ses intérêts légitimes et pour quelle raison le traitement des données était nécessaire. L’autorité néerlandaise aurait ensuite dû évaluer si le traitement de l’entité correspondait à l’intérêt légitime déclaré et vérifier que le traitement était justifié.

Une mise en balance des intérêts de la société VoetbalTV et des personnes concernées aurait dû être effectuée. L’intérêt légitime mis en avant par la société n’était pas seulement commercial mais résidait également dans une implication grandissante des participants sur l’application (joueurs et fans de football). L’enregistrement des matchs permettait également de réaliser des analyses techniques sur les joueurs. Enfin, cela donnait la possibilité aux personnes de visionner les match à distance et en replay.

2. Analyse de la décision

a) La notion d’intérêt légitime

Le Règlement Général sur la Protection des Données (RGPD) impose que tout traitement de données personnelles repose sur une base juridique afin de garantir sa licéité. Les six bases mentionnées par l’article 6 du RGPD sont les suivantes : le consentement, l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public et l’intérêt légitime.

Selon l’article 6 du RGPD, le traitement est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Le responsable de traitement doit donc, dans le cadre d’un traitement fondé sur l’intérêt légitime, opérer une mise en balance entre ses propres intérêts et ceux des personnes concernées.

Le considérant 47 du RGPD précise que « l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. »

b) Une base juridique controversée

rgpd et interet legitime

Il s’agit de la base légale du RGPD qui est la plus controversée puisqu’elle est sujette à interprétation du responsable de traitement, là où il n’y a aucun doute sur l’existence d’un contrat, d’une obligation légale ou encore sur le consentement de la personne concernée.

En France, une question publiée au Journal Officiel en 2018 fait état des difficultés d’interprétation de la notion d’intérêt légitime. La question posée au ministre de l’Économie et des Finances était de savoir si l’intérêt économique d’une entreprise pourrait, à lui seul, définir l’intérêt légitime. La réponse fut la suivante : « L’intérêt légitime n’est pas défini de façon précise par le RGPD, cependant l’intérêt économique d’une entreprise ne permet pas à lui seul de caractériser un intérêt légitime susceptible d’autoriser un traitement de données à caractère personnel.« 

Le G29 (actuel CEPD/EDPB) distingue les intérêts impérieux qui profitent à la société et les intérêts moins « pressants » dont la poursuite peut « avoir une incidence plus mitigée ou controversée sur la collectivité ». L’intérêt économique d’une entreprise fait, toujours selon le Groupe de l’article 29, partie de cette seconde catégorie, notamment lorsque l’entreprise veut obtenir des informations sur ses clients potentiels afin de mieux cibler la publicité pour ses produits ou services (prospection commerciale).

b) Le triple test de la Cour de Justice de l’Union Européenne (CJUE)

Un triple test issu de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE) doit être mené afin de déterminer si l’intérêt légitime peut être le fondement juridique d’un traitement :

1. Tout d’abord, les intérêts liés au traitement doivent être légitimes c’est-à-dire qu’un intérêt illégal ne pourrait être défendu par le responsable de traitement.

La Commission Nationale de l’Informatique et des Libertés (CNIL) estime que le caractère légitime de cet intérêt peut être présumé si trois conditions sont remplies :

– l’intérêt est manifestement licite

– il est déterminé de façon suffisamment claire et précise

– il est réel pour l’organisme concerné, et non fictif.

2. Ensuite, le traitement doit être strictement nécessaire aux fins de ces intérêts légitimes.

3. Enfin, les intérêts ou les libertés et droits fondamentaux de la personne concernée ne doivent pas prévaloir sur les intérêts légitimes définis par le responsable de traitement. La prise en compte de l’intérêt légitime en présence est importante tout comme l’impact du traitement sur les personnes concernées et les risques engendrés par le traitement pour les personnes concernées.

C’est lors de cette dernière étape qu’il doit y avoir un contrôle de proportionnalité, une mise en balance entre la protection du droit fondamental à la vie privée des personnes concernées et les enjeux économiques européens liés à la protection de la liberté d’entreprendre.

d) Les garanties

Les garanties apportées par le responsable de traitement peuvent jouer un rôle essentiel et réduire les risques et conséquences pour les personnes concernées. Ces garanties peuvent modifier l’équilibre des droits et faire en sorte que les intérêts des personnes concernés ne prévalent plus sur l’intérêt légitime du responsable de traitement, à condition que ces garanties soient suffisantes. En l’espèce, il pourrait s’agir du floutage des personnes qui ne souhaiteraient pas intervenir sur ces vidéos telles que les arbitres ou encore les spectateurs.

Conclusion

Le président de l’autorité néerlandaise de protection des données, Aleid Wolfsen, maintient que l’interprétation découle logiquement de la jurisprudence de la Cour de Justice de l’Union Européenne. La notion d’intérêt légitime fait l’objet de nombreuses discussions avec d’autres autorités de protection des données, au sein même de l’EDPB.

L’annulation de cette décision de l’autorité néerlandaise soulève la problématique d’interprétation divergente du RGPD par les autorités européennes de protection des données. Il faut espérer que la Commission intervienne pour clarifier la situation.

Sources :

D’autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis

Métavers : définition, structuration et problématiques juridiques (1/2)

L’apparition dans la sphère numérique du métavers bouleverse les équilibres et fait apparaître de nouveaux enjeux de taille. Source de multiples questions à la fois structurelles et juridiques, le métavers nécessite de faire preuve de vigilance. Alice Picard, notre juriste consultante Protection des Données, dresse dans cet article un historique du métavers et les problématiques soulevées par cet espace virtuel en plein boom.

Lire l’article
miniature article metavers

Métavers : les enjeux juridiques et cyber (2/2)

L’apparition du métavers et ses multiples usages obligent les acteurs du numérique à s’adapter à la nouvelle donne. Plusieurs branches du droit sont concernées par l’expansion de cet espace virtuel. Alice Picard, juriste consultante en Protection des Données chez Digitemis, détaille dans son nouvel article les enjeux juridiques et cyber du métavers.

Lire l’article
miniature article metavers alice picard

Je partage

Alice PICARD

Diplômée d'un Master 2 droit du numérique en alternance j'ai été recrutée par Digitemis en septembre 2021, en tant que juriste consultante en protection des données personnelles. Mes missions consistent à accompagner les clients de Digitemis dans leur mise en conformité au Règlement Général sur la Protection des Données.

Derniers articles

Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion

Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.

Lire l'article

L’évolution marquante du métier de DPO en 2024 : chiffres clés et nouvelles tendances

Le métier de DPO connaît une croissance fulgurante de 64% et une diversification des profils en 2024. Entre défis et opportunités, découvrez les chiffres clés et les dernières tendances de cette profession essentielle dans la protection des données personnelles.

Lire l'article