Cinq exemples d’intérêts légitimes
Lorsque le GDPR entrera en vigueur le 25 mai 2018, les marketeurs de l’UE (ou servant des personnes dans l’UE) devront mieux connaître les droits à la vie privée des personnes et les motifs légaux de traitement de leurs données personnelles. Poursuivez votre lecture sur les intérêts légitimes rgpd en suivant le lien avocat rgpd.
Quels sont les six motifs légaux de traitement des données ?
L’article 6.1 du GDPR définit les motifs légitimes de traitement des données comme suit :
- consentement de la personne concernée ;
- le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée ou pour prendre des mesures en vue de conclure un contrat ;
- le traitement est nécessaire au respect d’une obligation légale ;
- le traitement est nécessaire à la protection des intérêts vitaux d’une personne concernée ;
- le traitement est nécessaire à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts, les droits ou les libertés de la personne concernée.
Que signifie « intérêts légitimes » et comment pourrait-il s’appliquer ?
De manière assez évidente, le terme fait référence à l’intérêt que l’entreprise traitant les données personnelles peut avoir dans ce traitement. Cela peut impliquer un avantage inhérent au traitement pour cette entreprise elle-même ou peut-être pour une société plus large.
Comme le souligne le DPN, un intérêt légitime » doit être réel et pas trop vague « . Par exemple, il peut s’appliquer au traitement des données d’une organisation dans le cadre de la protection contre la fraude, des mesures de sécurité ou du transfert de ces données entre différentes parties d’un groupe organisationnel. Certains de ces éléments peuvent déjà faire partie de la conformité légale.
Ces sortes d’intérêts peuvent sembler assez justes pour le lecteur moyen, et en effet, les attentes des utilisateurs sont l’un des éléments que les orientations de l’ICO réservent à la prise en compte lorsqu’un contrôleur de données décide de s’appuyer sur des intérêts légitimes.
Un utilisateur s’attendrait-il ou devrait-il s’attendre à ce que le traitement ait lieu ? S’il y a une attente, alors l’impact du traitement est sans doute moindre que si aucune attente n’était possédée.
Pour le marketeur, trois des six exemples génériques du GDPR (aux considérants 47 à 50) de cas où un contrôleur peut avoir un intérêt légitime sont particulièrement remarquables :
1. Le marketing direct
Le GDPR stipule que « le traitement de données à caractère personnel à des fins de marketing direct peut être considéré comme effectué pour un intérêt légitime.’
Cela peut être le cas lorsque le consentement n’est pas viable ou n’est pas préféré, bien que le DPN souligne à juste titre le fait que les organisations devront toujours démontrer qu’il existe un équilibre entre les intérêts, les leurs et ceux de la personne recevant le marketing.
Bien sûr, toute personne peut s’opposer au marketing direct et c’est l’un des exemples d’intérêts légitimes pour lesquels l’objection est déjà assez bien comprise et facile à actionner (souvent par un lien de désabonnement ou en contactant l’entreprise en question pour en faire la demande).
2. Relation pertinente et appropriée
Il peut s’agir d’une relation directe appropriée, comme lorsque l’individu est un client.
3. Attentes raisonnables
Comme nous l’avons vu précédemment, si un contrôleur comprend que les individus ont une attente raisonnable que leurs données soient traitées, cela peut aider à faire valoir des intérêts légitimes.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé RGPD.
