Comment réaliser le triple test pour évaluer les intérêts légitimes du responsable du traitement (RGPD)

Pour que les intérêts légitimes puissent être utilisés, il est nécessaire de réaliser et passer un triple test afin de s’assurer de la légalité du recourt à l’article 6.1.f. Rappelons que lorsqu’on utilise les intérêts légitimes, on ne demande pas le consentement des personnes avant de traiter leurs données! Cette base légale ouvre donc la voie à des abus, et c’est la fonction du triple test que de les prévenir et les éliminer.

Voyons donc cela en détail !

1. La base légale des «intérêts légitimes»

L’article 6, paragraphe 1), f) du RGPD nous indique que :

“1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant”

Cela signifie en clair que le responsable du traitement (RT) peut, sans demander le consentement des personnes, collecter et traiter leurs données personnelles s’il estime qu’il est légitime à le faire. Dès ces éléments posés, on voit immédiatement comment l’aventure peut déraper, c’est pourquoi le RGPD ajoute des conditions pour que les intérêts légitimes puissent être valablement invoqués. Le triple test se décompose de la manière suivante :

• un test d’objectif : est-ce que le responsable dispose réellement d’un intérêt légitime?
• un test de nécessité : est-ce que le traitement des données est vraiment nécessaire?
• Un test d’équilibre : les intérêts de l’individu prévalent-ils sur l’intérêt légitime du responsable du traitement?

La CNIL rappelle à ce sujet que “cette base légale concerne les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées”

2. Exemples d’intérêts légitimes

De manière assez intéressante, le RGPD lui-même nous donne une série d’exemples d’intérêts considérés comme légitimes (considérants 47, 48 et 49) :

• la prévention contre la fraude
• garantir la sécurité du réseau et du système d’information de manière large (cf considérant 49 très détaillé à ce sujet)
• la prospection commerciale

La Commission européenne rappelle également que “Votre entreprise/organisation a un intérêt légitime lorsque le traitement a lieu dans le cadre d’une relation avec un client, lorsqu’elle traite des données à caractère personnel à des fins de prospection, pour prévenir la fraude ou garantir la sécurité du réseau et des informations de vos systèmes informatiques.”

Si l’on analyse le considérant 49 du RGPD on observe que les traitements effectués pour assurer la sécurité des systèmes d’information, reposant sur l’intérêt légitime, ont été très largement mentionnés : “Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d’intervention en cas d’urgence informatique (CERT), des équipes d’intervention en cas d’incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s’agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques”

3. Pas d’intérêt légitime pour les autorités publiques

Rappelons au passage que la base légale des intérêts légitimes ne peut être utilisée par les autorités publiques ; le considérant 47 nous explique pourquoi : "Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. "

4. Comment mener le triple test

Le triple test doit être mené et documenté dans le registre des traitements afin que l’organisation s’assure que l’utilisation de la base légale est bien conforme aux exigences du RGPD. Trois actions doivent donc être menées.

4.1 Identifier les intérêts du responsable du traitement ou d’un tiers et leur légitimité

Il est nécessaire, tout d’abord, d’identifier clairement les intérêts et les objectifs du responsable du traitement ou du tiers en vertu desquels le traitement est opéré. On peut donc se poser les questions suivantes :

• Pourquoi le traitement est-il opéré ?
• Quel avantages sont attendu du traitement ?
• Qui bénéficie du traitement?
• Quel serait l’impact si l’organisation ne pouvait pas mettre en place le traitement ?

Le considérant 47 est utile dans cette analyse : “l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée”. Dans le cadre d’une relation commerciale, il est utile de prendre en compte les attentes raisonnables des personnes au regard du traitement de leurs données, par exemple en b2b, il est raisonnable qu’un client d’une entreprise puisse s’attendre à être contacté par email pour une proposition commerciale liée à un service annexe.

La CNIL indique que "l’intérêt poursuivit par un organisme peut être présumé si les 3 conditions suivantes sont remplies :

• l’intérêt est manifestement licite au regard du droit ;
• il est déterminé de façon suffisamment claire et précise ;
• il est réel et présent pour l’organisme concerné, et non fictif"

4.2 La condition de nécessité

L’organisation devra ensuite s’assurer que le traitement est nécessaire (cf. art. 6 : “le traitement est nécessaire aux fins des intérêts légitimes”).

Cette condition peut se décomposer en deux points :

• d’une part, il est nécessaire de vérifier que le traitement opéré permet effectivement d’atteindre l’objectif poursuivi, et non en réalité d’autres objectifs. Cette condition est souvent problématique dans des cas ou l’organisation indique collecter des données pour une finalité, alors qu’en réalité, elle utilise ces données pour des finalités totalement différentes. Il faut être attentif à cela car c’est un risque réel et important de dérive
• d’autre part, il est nécessaire de s’assurer qu’il n’existe pas de moyen moins intrusif d’atteindre cet objectif que la mise en oeuvre du traitement

On peut donc se poser les questions suivantes :

• Ce traitement aidera-t-il réellement l’organisation à atteindre l’objectif initialement énoncé ?
• Le traitement est-il proportionné à cet objectif ?
• Est-il possible d’atteindre le même objectif sans le traitement ?
• Est-il possible d’atteindre le même objectif en traitant moins de données, ou en traitant les données d’une autre manière moins intrusive (cf. également le principe de minimisation) ?

Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

Et de manière générale, «Nécessaire» signifie que le traitement doit être un moyen ciblé et proportionné d’atteindre l’objectif énoncé. Encore une fois, on ne peut compter sur la base légale des intérêts légitimes s’il existe un autre moyen raisonnable et moins intrusif d’obtenir le même résultat.

4.3 La condition d’équilibre

Il faut reprendre le détail de l’article 6 pour avoir une compréhension du test d’équilibre. En effet, les intérêts légitimes du RT peuvent justifier cette base légale “à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel”.

La balance est donc établie : les intérêts du RT ne peuvent prévaloir ni sur les intérêts de la personne concernée, ni ses libertés ou droits fondamentaux.

Le considérant 47 vient ajouter des éléments supplémentaires dans l’analyse de cette condition d’équilibre :

• “à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement”
• “l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée”
• “Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur”

Les attentes des personnes concernées - en anglais “reasonable expectations of data subjects based on their relationship with the controller” - sont donc des éléments essentiels à prendre en compte.

La CNIL indique que “l’organisme doit donc opérer une mise en balance, une pondération entre les droits et intérêts en cause, et vérifier dans ce cadre que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.” Ensuite “l’organisme doit tout d’abord identifier les conséquences de toutes sortes que son traitement peut avoir sur les personnes concernées : sur leur vie privée mais aussi, plus largement, sur l’ensemble des droits et intérêts couverts par la protection des données personnelles”. Puis “L’organisme doit ensuite tenir compte, dans la pondération entre son intérêt légitime et les droits et intérêts des personnes, de leurs « attentes raisonnables »”

On peut donc se poser une série de questions afin de clarifier ces aspects :

• Contexte général du traitement

  • Existe-t-il des données art. 9 ou 10
  • Est-ce des données que les personnes sont susceptibles de considérer particulièrement «privé» ou sensibles pour les personnes?
  • Est-ce que des données d’enfants ou de personnes mineures ou vulnérables sont traitées?
  • Est-ce que des données relatives à la capacité personnelle ou professionnelle des personnes sont traitées?

• La relation avec les personnes concernées

  • Existe-t-il une relation avec l’individu?
  • Quelle est la nature de cette relation et comment les données ont été utilisées par le passé?
  • Est-ce que les données ont été collectées directement auprès des personnes?
  • De quelle information ont-ils disposé?
  • Depuis combien de temps les données ont été collectées ? Y a-t-il des changements technologiques ou de contexte depuis lors qui affecterait les attentes?

5. Les textes importants

L’article 6 précité.

Le considérant 47 : “Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime”.

Le considérant 48 : “Les responsables du traitement qui font partie d’un groupe d’entreprises ou d’établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d’entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d’un groupe d’entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.”

Et le considérant 49 : “Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d’intervention en cas d’urgence informatique (CERT), des équipes d’intervention en cas d’incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s’agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques”