Le traitement à des fins de marketing peut-il se fonder sur l’intérêt légitime ?

Au sein de l’UE, les autorités de protection de données ont parfois des approches différentes sur le sujet. Certains commentaires, trop frileux, continuent à circuler. Pourtant, la Commission européenne avait sifflé la fin de la récréation dès 2020, s’opposant à une interprétation restrictive qui part de l’idée que l’intérêt légitime ne peut jamais être lié à une finalité commerciale. Il est temps de relire l’analyse de l’exécutif européen et cesser de gloser inutilement.

C’est l’autorité des Pays-Bas qui avait fait les frais de ce recadrage.

La Commission européenne attirait d’abord l’attention sur l’arrêt C-13/16, Rigas satiksme, dans lequel la CJUE rappelait, au sujet de la directive 95/46/CE, que l’intérêt légitime consiste en un test en trois parties (elle a depuis lors ocnfirmé l’approche sous l’empire du RGPD) :

  1. l’établissement de l’existence d’un intérêt légitime à l’origine du traitement,
  2. l’évaluation de la nécessité du traitement en question, et
  3. la mise en balance afin d’établir si l’intérêt légitime du responsable du traitement l’emporte sur les droits et libertés fondamentaux de la personne concernée.

Pour la Commission, chaque élément est indépendant des autres et nécessite d’appliquer ses propres critères.

Concernant « l’intérêt légitime »

Dans Rigas satiksme, la CJUE a considéré que l’intérêt économique est légitime (en l’occurrence l’intérêt d’un tiers à obtenir les informations personnelles d’une personne qui a endommagé sa propriété afin de la poursuivre en dommages et intérêts).

Elle rappelle aussi que le Groupe de travail Article 29 avait, dans son avis 06/2014 (WP 217), rappelé que la notion d’intérêts légitimes comprend un « large » éventail d’intérêts, et que la liberté d’exercer une activité commerciale, y compris la poursuite « d’intérêts purement commerciaux tels que la maximisation des profits », est un droit de l’homme consacré par l’article 16 de la Charte des droits fondamentaux de l’Union européenne (Charte de l’UE).

La Commission estime en conséquence qu’un interprétation stricte de l’intérêt légitime, qui exclurait par principe la finalité commerciale, ne permet pas de trouver un équilibre approprié entre les droits en cause, car le droit à la protection des données serait privilégié systématiquement dès que l’intérêt poursuivi est tiré de la liberté d’entreprise.

Abordant le GDPR, la Commission soulignait aussi le considérant 47, dont il découle que le traitement à des fins de marketing direct peut être considéré comme effectué dans un but légitime.

Concernant la nécessité du traitement et la mise en balance

La Commission européenne insiste sur la nécessité d’une mise ne balance concrète, ce qui exclut une approche rigoriste dans laquelle la finalité commerciale est présumée non-nécessaire ou disproportionnée. Elle invoque notamment les affaires C-275/06 (Promusicae), C-468/10 et C-469/10 (ASNEF), C-13/16 (Rigas satiksme), C-131/12 (Google Spain), et C-40/17 (Fashion ID).

Quant aux critères à prendre en compte dans la mise en balance, ils comprennent la nature des informations en question et leur sensibilité pour la vie privée de la personne concernée.

Il découle de tout ceci, selon la Commission, qu’il n’est « pas possible de conclure de manière générale qu’un intérêt purement commercial n’est pas susceptible de prévaloir sur les droits et libertés fondamentaux de la personne concernée, car cela doit être évalué sur la base d’un test de mise en balance concret ».

Enfin, la Commission termine par rappeler que l’objectif du GDPR « n’est pas d’entraver les activités commerciales mais plutôt de permettre la conduite des affaires tout en assurant un niveau élevé de protection des données ».

Plus d’infos ?

En lisant le courrier de la Commission, disponible en annexe.

Source : Droit & Technologies

Mots clés

Articles recommandés

Attention : de faux mails envoyés au nom d'AG Insurance

Votre service à la clientèle communique-t-il positivement ?

Fisconet plus actualise la farde documentaire "Protection des données et de la vie privée"