Qu’est-ce que l’interet legitime au sens du RGPD ?
L’interet legitime est l’une des six bases legales prevues par l’article 6 du RGPD. Il permet a un organisme de traiter des donnees personnelles sans le consentement de la personne concernee, a condition que ce traitement reponde a un interet reel et que les droits et libertes des personnes ne soient pas compromis de maniere disproportionnee.
Cette base legale est particulierement utilisee en contexte professionnel : prospection B2B, securite informatique, prevention de la fraude, gestion des ressources humaines ou encore analyse statistique. Elle offre une flexibilite appreciable mais impose une rigueur dans sa mise en oeuvre.
Decouvrir DPO France
Les 3 conditions pour invoquer l’interet legitime
1. Un interet reel et actuel
L’interet invoque doit etre concret, licite et clairement identifie au moment du traitement. Il peut s’agir d’un interet commercial (fidelisation client), d’un interet de securite (detection d’intrusions) ou d’un interet organisationnel (gestion administrative interne). Un interet hypothetique ou trop vague ne suffit pas.
2. La necessite du traitement
Le traitement doit etre strictement necessaire pour atteindre l’objectif poursuivi. S’il existe un moyen moins intrusif d’arriver au meme resultat, le recours a l’interet legitime peut etre remis en question. Par exemple, si vous pouvez atteindre vos prospects sans collecter leur historique de navigation, la collecte de ces donnees n’est pas necessaire.
3. La mise en balance des interets
C’est l’etape la plus importante. Vous devez demontrer que vos interets ne portent pas une atteinte disproportionnee aux droits et libertes des personnes concernees. Cette mise en balance doit prendre en compte la nature des donnees traitees, les attentes raisonnables des personnes, l’impact potentiel du traitement et les mesures de protection mises en place.
Comment realiser la mise en balance des interets ?
La mise en balance est un exercice documente qui doit etre conserve dans vos dossiers de conformite. Elle comprend plusieurs etapes : identifier precisement l’interet poursuivi, evaluer la necessite et la proportionnalite du traitement, analyser l’impact sur les personnes concernees, verifier les attentes raisonnables des personnes et definir les garanties complementaires (droit d’opposition facilite, information transparente, limitation de la duree de conservation).
La CNIL recommande de formaliser cette analyse dans un document ecrit, distinct du registre des traitements mais pouvant y etre rattache. Ce document doit etre mis a jour regulierement.
Decouvrir DPO Suite
Exemples concrets d’utilisation de l’interet legitime
La prospection commerciale B2B est l’un des cas les plus courants. Lorsque vous contactez un professionnel dans le cadre de ses fonctions pour lui proposer un service en lien avec son activite, l’interet legitime peut etre invoque. Attention toutefois : la personne doit toujours pouvoir s’opposer facilement au traitement.
La securite informatique constitue un autre cas frequent. La surveillance des acces aux systemes d’information, la detection d’anomalies ou la prevention des cyberattaques reposent generalement sur l’interet legitime de l’organisme. De meme, la prevention de la fraude dans le secteur bancaire ou assurantiel s’appuie souvent sur cette base legale.
Les limites de l’interet legitime
L’interet legitime ne peut pas etre utilise par les autorites publiques dans l’exercice de leurs missions. Ces organismes doivent se fonder sur la base legale de la mission d’interet public. De plus, l’interet legitime est plus difficile a invoquer lorsque les donnees traitees sont sensibles (donnees de sante, opinions politiques, orientation sexuelle) ou lorsque les personnes concernees sont des mineurs.
Le droit d’opposition est un element central de l’interet legitime. Toute personne doit pouvoir s’opposer au traitement fonde sur cette base legale, et l’organisme doit alors cesser le traitement sauf a demontrer des motifs legitimes et imperieux qui prevalent sur les interets de la personne.
Interet legitime et prospection commerciale
En matiere de prospection par email, les regles different selon la cible. Pour la prospection B2B (entre professionnels), l’interet legitime peut etre invoque a condition d’informer la personne et de lui offrir un moyen simple de s’opposer (lien de desinscription). Pour la prospection B2C (vers des particuliers), le consentement prealable est obligatoire, sauf si la personne est deja cliente et que la prospection concerne des produits ou services similaires.
Decouvrir Focus RGPD
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
