L’intérêt légitime est l’une des 6 bases juridiques fournies par le RGPD (exécution d’un contrat, obligation légale, consentement, intérêt public, intérêt vital, intérêt légitime) qui permettent le traitement des données personnelles. L’intérêt légitime peut être utilisé aux fins de l’intérêt du responsable de traitement ou d’un tiers, sous certaines conditions.
L’intérêt légitime est défini à l’art. 6 alinéa 1 lettre f du RGPD:
“Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
…
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.”
Lorsque nous utilisons l’intérêt légitime comme base juridique du traitement, il doit y avoir un équilibre entre “l’intérêt légitime” de l’entreprise, d’une part, et les “intérêts et libertés fondamentaux et les droits des personnes”, d’autre part; en outre, les “attentes raisonnables” de ces personnes doivent être prises en compte. Ce “test de mise en balance” des droits et intérêts concernés doit être effectué pour chaque traitement en fonction de l’intérêt légitime.
Pour ces raisons, nous considérons que l’article 6, paragraphe 1, lettre f représente l’un des aspects les plus complexes réglementés par le RGPD.
Quand une entreprise peut-elle utiliser l’intérêt légitime comme base juridique pour le traitement?
L’utilisation d’un intérêt légitime pour justifier légalement le traitement est soumise à trois conditions:
1. l’intérêt poursuivi par l’organisation doit être “légitime”, c’est-à-dire:
– l’intérêt est clairement légal en vertu de la loi;
– est clairement et précisément déterminé;
– c’est réel (pas fictif).
Cette base juridique peut par exemple être prise en compte dans les cas suivants:
– visant à assurer la sécurité du réseau et des informations;
– mis en œuvre à des fins de prévention de la fraude;
– nécessaire aux opérations de prospection commerciale avec les clients d’une entreprise (sous certaines conditions);
– relation avec les clients ou les employés d’un groupe d’entreprises à des fins de gestion administrative interne;