Même dans le RGPD, la vague notion d’intérêt légitime intervient et fait encore parler d’elle. Cette base légale servant de fondement de licéité des traitements de données personnelles n’est pas comme les autres…
Une base légale de dernier recours
En présence d’un traitement de données personnelles (collecte, transfert, stockage…), le Règlement général sur la protection des données (RGPD) impose sa justification par l’une des 6 bases légales prévues dans son article 6. Ce fondement permet de considérer que le traitement en cause est licite.
L’intérêt légitime est un des fondements de licéité d’un traitement, cependant, comme dans toutes les matières du droit, la notion suscite quelques interrogations. Contrairement aux 5 autres, celle-ci est abstraite. Et comme toute chose abstraite, son interprétation est subjective.
L’intérêt légitime est énoncé au dernier point de l’article, ce qui laisse penser que cette base légale ne doit être utilisée qu’en dernier recours. En ce sens, en 2019, la CNIL a publié un article sur l’intérêt légitime, affirmant qu’il ne doit pas faire l’objet d’une utilisation par défaut par les organisations pour justifier leurs traitements de données. Ceci montre à quel point cette base légale a suscité des craintes dès son entrée en application, mais pourquoi ?
Une base légale servant de joker ?
La principale crainte est que cette base légale puisse se transformer en catégorie “fourre-tout” permettant de justifier tout traitement de données personnelles.
En effet, le responsable de traitement qui souhaite l’utiliser se voit impliqué dans un travail intellectuel supplémentaire : la mise en balance de ses intérêts avec les intérêts, libertés et droits fondamentaux de la personne concernée.
Toutefois, aucune information supplémentaire concernant cette mise en balance n’est évoquée dans le RGPD. Par conséquent, des organisations peuvent être tentées de justifier tout traitement de données personnelles automatiquement par l’intérêt légitime, le curseur étant difficile à placer.
Qu’est-ce qui permet de dire que les intérêts de l’organisation prévalent sur ceux de la personne ? Cette appréciation revient au responsable de traitement qui n’a aucune garantie que son raisonnement tienne la route, jusqu’à ce qu’un contrôle de la CNIL lui tombe dessus…
La justification comme protection d’un contrôle
Vous l’aurez compris, le plus important dans l’utilisation de cette base légale est la justification qui en est faite. Le délégué à la protection des données, dans le cadre de sa mission de conseil au responsable de traitement, peut contribuer à cette justification.
Même si celle-ci ne doit pas obligatoirement figurer dans le registre des traitements de données de l’organisation, il serait judicieux d’élaborer un document en interne justifiant chaque utilisation de l’intérêt légitime comme base légale d’un traitement de données personnelles. Plus ce document sera riche, plus il pourra permettre de prouver que les intérêts de l’organisation pèsent dans la balance.
Ceci permet également de montrer que le travail de mise en balance des intérêts a été effectué en amont, autrement dit, “by design” comme l’exige le RGPD. En effet, l’entrée en vigueur de ce texte européen a fait disparaître les formalités préalables avec la CNIL au profit d’une responsabilisation des acteurs manipulant des données personnelles. Ils doivent prendre les mesures techniques et organisationnelles suffisantes afin de protéger les données personnelles dès la conception d’un dispositif ou d’une activité générant un traitement de celles-ci.
Une base légale acceptée en matière d’IA
Une autre crainte se voit soulevée depuis que la CNIL a publié, le 10 juin dernier, une fiche pratique énonçant que l’intérêt légitime est une base légale “adaptée pour fonder le développement, par des organismes privés, de systèmes d’IA”. Elle ajoute toutefois que “le traitement ne doit pas porter une atteinte disproportionnée aux droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables”. Cette dernière formule manquant également de clarté, nous espérons que les responsables de traitement souhaitant se lancer dans l’IA manipuleront avec précaution les données des personnes concernées.
Kenza GHEZLOUN-PEREZ
Master 2 Cyberjustice – Promotion 2023/2024
#rgpd #baselegale #donneespersonnelles #cnil #IA #droit
Sources :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
https://www.cnil.fr/fr/les-bases-legales/interet-legitime
https://www.cnil.fr/fr/base-legale-interet-legitime-developpement-systeme