L’intérêt légitime au sens du RGPD implique-t-il qu’il soit prévu par une loi ? Ou faut-il raisonner à l’inverse et considérer que l’intérêt personnel du responsable de traitement – y compris un intérêt purement commercial – est légitime aussi longtemps qu’il n’est pas contraire à la loi ? Voici en substance l’importante question à laquelle la CJUE sera amenée à répondre
Le tribunal de première instance d’Amsterdam annonce avoir rendu ce 21 septembre 2022 un jugement invitant la Cour de justice de l’UE à préciser la notion d’intérêt légitime.
En substance, une association sportive accepte de transmettre à ses sponsors la liste des affiliés. L’un d’eux, recevant un courrier publicitaire, s’interroge et remonte jusqu’à l’Association Sportive. Il apparaît que celle-ci a non seulement transmis des données d’identification, mais également des informations telles que la date de naissance, le numéro de téléphone, etc.
Plainte est déposée devant l’autorité de protection des données néerlandaise qui, on le sait, a sur cette question une approche extrêmement stricte au point d’avoir été rappelée à l’ordre par la commission européenne il y a quelques années (voir notre précédente actu). L’autorité condamne et inflige une amende de 525.000 €. L’affaire aboutit en recours devant le tribunal de première instance.
Selon une jurisprudence constante de la Cour de justice de l’Union européenne (notamment : 29 juin 2019, C-40/17), trois conditions cumulatives doivent être remplies pour que des données à caractère personnel puissent être traitées sur la base de l’intérêt légitime :
La question que se pose le tribunal d’Amsterdam est relative à la première condition.
Le juge néerlandais explique les choses comme suit (traduction libre) : « les parties sont divisées sur l’interprétation et la portée de la notion d' »intérêt légitime » (…) « .
Selon la défenderesse, il résulte de l’interprétation grammaticale de ce terme qu’il doit exister un « intérêt légitime et donc concret, appartenant à la loi, licite, prévu par une loi ». Un test positif, donc. Selon la défenderesse, l’opinion de la demanderesse selon laquelle tout intérêt est justifié à moins d’être interdit par la loi est incompatible avec l’essence de la disposition. Si telle avait été l’intention, il aurait été plus logique, selon la défenderesse, de rédiger la disposition en sens inverse. Ainsi, par exemple, au lieu de parler d’un « intérêt légitime », on parle d’un « intérêt sauf si la loi l’interdit ».
Le juge poursuit : « le défendeur se réfère à un passage du considérant 47 du RGPD : « Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service ». Selon la partie défenderesse, cela signifie que le traitement de données personnelles de personnes qui ne s’y attendraient pas raisonnablement ne peut pas être fondé sur un intérêt légitime. Il doit s’agir d’un intérêt préexistant du responsable du traitement que la personne concernée peut prendre en compte. Un intérêt qui n’est pas un intérêt légitime et qui n’est donc pas un intérêt « appartenant à la loi, licite, établi par la loi » n’est pas suffisamment connu à l’avance. La partie défenderesse estime trouver un appui à cette interprétation dans la position du Conseil européen (le Conseil) lors des travaux préparatoires. Dans ce document, le Conseil estime que : » l’existence d’un intérêt légitime doit être démontrée, notamment si une personne concernée pouvait raisonnablement s’attendre, au moment de la collecte des données à caractère personnel et dans le contexte de celle-ci, à ce que le traitement soit effectué dans le but de poursuivre cet intérêt « . Le traitement des données à caractère personnel à des fins de marketing direct peut être considéré comme effectué aux fins d’un intérêt légitime. Le traitement des données à caractère personnel par les autorités publiques dans l’exercice de leurs missions ne repose pas sur la base juridique de l’intérêt légitime, car c’est le législateur national qui détermine la base juridique du traitement des données à caractère personnel par les autorités publiques. »
Le juge néerlandais exprime un sérieux doute : « En revanche, selon le tribunal, il semble incompatible avec le haut niveau de protection censé être assuré par le RGPD que le désir de gagner de l’argent à partir des données personnelles d’autres personnes sans le consentement de la personne concernée soit qualifié d’intérêt légitime. »
Pour autant, vu l’incertitude qui règne autour de la notion, il décide de renvoyer la cause à la CJUE à laquelle il pose la question suivante (traduction libre) : « Tout intérêt peut-il être un intérêt légitime, à condition que cet intérêt ne soit pas contraire à la loi ? Plus précisément, un intérêt purement commercial et l’intérêt tel qu’il est en cause ici, à savoir la fourniture de données à caractère personnel contre paiement sans le consentement de la personne concernée, doit-il être considéré comme un intérêt légitime dans ces circonstances ? Dans l’affirmative, quelles circonstances déterminent si un intérêt purement commercial est un intérêt légitime »
On dispose de quelques repères :
Il nous semble difficile de considérer que la liberté d’entreprendre est garantie par la Convention et le Traité, si l’intérêt purement commercial qui en est la traduction concrète devait, en tant que tel, être exclu de l’intérêt légitime au sens du RGPD.
Est-ce grave en termes de protection des données personnelles ? Est-ce une faille dans le système ?
Certainement pas : on a vu ci-dessous qu’il y a trois conditions fixées par la CJUE pour passer avec succès le test de l’intérêt légitime. Les deux autres conditions (nécessité et non-prévalence des intérêts de la personne concernée) sont loin d’être anodines.
Il nous semble probable que la CJUE réponde qu’un intérêt peut être légitime au sens du règlement s’il n’est pas contraire à une loi ou un règlement, et que cela comprend l’intérêt purement commercial qui découle de l’exercice de la liberté d’entreprendre, mais que « le désir de gagner de l’argent à partir des données personnelles d’autres personnes sans le consentement de la personne concernée » est un paramètre qui doit être pris en compte dans l’analyse des deux autres conditions que sont la nécessité et la non-prévalence de l’intérêt des persones concernées.
En lisant le jugement amstellodamois.
En lisant notre analyse précédente sur ce sujet.
Source : Droit & Technologies