Donner un sens à l'intérêt légitime dans le cadre du RGPD

Comme indiqué dans le billet de lancement de Dennis pour notre série de blogs sur le Règlement général sur la protection des données (RGPD), les organisations établies ou opérant dans l'UE doivent disposer d'une base légale pour le traitement des données personnelles. Le RGPD prévoit six bases juridiques pour un tel traitement : le consentement, l'intérêt légitime, le contrat, l'obligation légale, les intérêts vitaux et les tâches publiques. La plupart des organisations cherchant à acquérir de nouveaux clients ou utilisateurs considéreront le consentement ou l'intérêt légitime comme base admissible pour le traitement. La semaine dernière, nous avons entendu Elizabeth, notre spécialiste de la confidentialité, parler du consentement . Cette semaine, nous allons examiner « l'intérêt légitime ». Il y a eu pas mal de confusion autour de l'intérêt légitime, nous allons donc essayer de clarifier et de vous dire comment nous y pensons !

La langue
Tout d'abord, examinons le langage pertinent de l' article 6 (1) (f) du RGPD sur l'intérêt légitime :

Le traitement n'est licite que si et dans la mesure où au moins l'une des conditions suivantes s'applique :

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il est tentant de penser que l'intérêt légitime peut être utilisé pour couvrir un large éventail de circonstances, éliminant ainsi le besoin de consentement. Mais les interprétations larges de cette section ont été ouvertement découragées : « des exceptions illimitées dans le sens de l'article 6 du RGPD, et en particulier de l'art. 6(f) GDPR (motif d'intérêt légitime), doit être évité. Voir Groupe de travail Article 29 sur la protection des données, avis 01/2017 sur la proposition de règlement relatif au règlement ePrivacy (2002/58/CE), adopté le 4 avril 2017.

Alors, où les organisations tracent-elles la ligne ?

Intérêt légitime en jeu
Tout d' abord, nous allons examiner ce qui est un intérêt légitime. Le RGPD fournit quelques exemples tels que le traitement des données personnelles pour prévenir la fraude, à des fins administratives internes relatives aux employés et aux clients, pour assurer la sécurité du réseau et des informations, et pour signaler d'éventuels actes criminels ou menaces à la sécurité publique à une autorité compétente. En outre, le traitement des données qui est nécessaire pour répondre à la gouvernance d'entreprise interne ou externe ou aux exigences de conformité légale connexes est susceptible d'être considéré comme un intérêt légitime.

Un exemple peut-être moins évident, le considérant 47 du RGPD désigne le « traitement des données personnelles à des fins de marketing direct » comme un intérêt légitime. Un malentendu courant que nous avons rencontré ici est que ce langage justifie tout marketing et même les opt-ins souples. Pour mieux comprendre pourquoi ce n'est pas le cas, il est utile de considérer d'abord ce que cette formulation ne dit pas : cela ne dit pas que tout marketing par e-mail ou tout envoi de matériel de marketing direct est autorisé.

Deuxièmement, il est essentiel de se rappeler que le RGPD ne fonctionne pas dans le vide. À des fins de marketing direct, les organisations et les commerçants doivent garder à l'esprit comment le RGPD fonctionne avec la directive sur la confidentialité et les communications électroniques (directive ePrivacy), qui fournit des règles de consentement supplémentaires pour le marketing envoyé par téléphone, fax, e-mail, SMS et autres canaux de communication électronique. , et qui est actuellement en cours de mise à jour. En vertu de la directive ePrivacy actuelle, le consentement pour le marketing par e-mail et SMS est requis, sauf si (i) la collecte a eu lieu au point de vente et (ii) une option de désinscription a été fournie à ce stade. Ainsi, alors que certains commerçants de premier niveau ont une base légale pour le marketing direct basé sur la vente et l'opt-out (pour l'instant), dans tous les autres cas, les commerçants doivent se conformer aux exigences de consentement d'opt-in, qu'ils aient ou non un intérêt légitime en vertu de la RGPD.

Ce qui constitue un intérêt légitime deviendra plus clair au fil du temps avec plus d'orientations et de décisions par les organes compétents, et avec la publication de la prochaine directive ePrivacy modifiée. En attendant, nous utilisons ces exemples et les paramètres établis par le RGPD discutés ci-dessous, comme cadre pour adhérer aux principes de traitement sur la base de l'intérêt légitime.

Éviter les pièges des intérêts légitimes
Pour établir avec certitude que l'intérêt légitime existe réellement, les organisations doivent analyser et documenter à la fois la nécessité du traitement particulier et leur conclusion après avoir mis en balance l'intérêt du traitement et les droits des personnes concernées. C'est ce que certains appellent une évaluation de l'intérêt légitime (« LIA »). Quant à la nécessité du traitement, nous suggérons de prendre l'habitude de se demander : peut-on atteindre le même objectif sans traiter les données personnelles ? Si la réponse est « oui », alors la meilleure pratique consiste à s'éloigner de l'intérêt légitime comme base du traitement et à obtenir le consentement.

Si la réponse est « non », l'objectif ne peut pas être atteint autrement, une bonne étape suivante consiste à se demander : la nécessité du traitement l'emporte-t-elle sur les intérêts ou les droits des personnes concernées ? En répondant à cette question, il est important de se rappeler que les personnes concernées ont le droit de s'opposer à un intérêt légitime comme base du traitement, laquelle objection ne peut être surmontée que pour des raisons « impérieuses » énoncées par l'organisation de traitement.

Compte tenu de ces contraintes, lorsque nous nous basons sur l'intérêt légitime comme base du traitement, nous recommandons de mettre en place un processus pour conserver une trace écrite de la nécessité et des conclusions d'équilibrage. Ceci est particulièrement important lorsque la personne concernée est un enfant. Et en règle générale, cela permettra d'éviter les pièges des intérêts légitimes et de démontrer qu'une attention appropriée a été accordée à la nécessité du traitement et aux droits et libertés des personnes dont les données sont traitées.

Une note sur l'avis
Si une organisation s'appuie sur un intérêt légitime comme base pour le traitement du RGPD, il est nécessaire que l'organisation informe les personnes dont les données sont collectées de quels sont les intérêts légitimes et qu'elles ont le droit de s'y opposer. Cela peut être fait au moment de la collecte des données ou, dans le cas de l'avis d'opposition, dans la section d'un avis de confidentialité qui traite des droits des individus. Comme pour tout ce qui concerne le RGPD et la confidentialité, la meilleure façon de le faire est d'être franc et transparent sur vos activités de traitement.