Les intérêts légitimes constituent une des six bases légales du RGPD permettant de traiter des données à caractère personnel.
Pourquoi est-il essentiel de définir les intérêts légitimes ? ⚠️
Le RGPD demande aux responsables de traitement de documenter leur conformité. A ce titre, il est obligatoire de tenir un registre des activités de traitement mais également de justifier les décisions prises sur le sujet de la protection des données.
Selon l'article 6 du RGPD, pour que cette base juridique soit valide, les intérêts légitimes ne doivent pas outrepasser les droits et libertés des personnes concernées par le traitement.
Rappel : cette base juridique n'est pas possible pour les traitements effectués par les autorités publiques dans l'exécution de leurs missions.
Lors du choix de cette base légale, il est important de documenter son choix si celui-ci n'est pas évident.
La base légale des intérêts légitimes peut être utilisée sans avoir à être justifiée dans les cas suivants :
- Garantir la sécurité d'un réseau informatique et du système d'information
- Prévenir la fraude
- Faire de la prospection commerciale auprès de clients déjà existants pour des produits et services analogues
- Faire de la gestion administrative et partager les données au sein d'un groupe (clients et RH)
Dans ces cas, les intérêts sont présumés légitimes. Attention, si jamais un doute persiste sur la légitimité, il est nécessaire de réaliser un test tel que celui décrit ci-dessous.
Test de légitimité ✔️
Pour identifier si les intérêts sont légitimes, voici une liste de questions permettant de s'assurer d'avoir la réponse.
Ces questions proviennent du modèle d'audit complet présent dans Dastra. Vous pouvez le tester gratuitement et immédiatement en créant un compte !
Ce modèle inclut le test de légitimité, mais aussi le test de nécessité et la mise en balance !
1.1. Pourquoi voulez-vous traiter les données ?
1.2. Quel bénéfice espérez-vous tirer du traitement ?
1.3. Des tiers bénéficient-ils du traitement ?
1.4. Le traitement présente-t-il des avantages plus larges pour le public ?
1.5. Quelle est l'importance de ces avantages ?
1.6. Quelles seraient les conséquences en cas de non réalisation du traitement ?
1.7. Quel est le résultat escompté pour les individus ?
1.8. Est-ce que le traitement est nécessaire pour se conformer à une autre règlementation ?
1.9. Veuillez préciser les réglementations
1.10. Est-ce que le traitement permet de se conformer à des directives sectorielles ou à un code de conduite ?
1.11. Veuillez préciser les normes ou codes de conduite
1.12. Est-ce que le traitement pose des problèmes éthiques ?
1.13. Est-ce que le traitement répond à l'un des objectifs suivants ?
Si le traitement s'inscrit dans l'un de ces objectifs, alors les intérêts sont présumés légitimes.
- Garantir la sécurité d'un réseau informatique et du système d'information
- Prévenir la fraude
- Faire de la prospection commerciale auprès de clients déjà existants pour des produits et services analogues
- Faire de la gestion administrative et partager les données au sein d'un groupe (clients et RH)
1.14. Dans le cas où le traitement ne répond pas aux objectifs précédents, les intérêts du traitement peuvent être présumés légitimes s'il répondent aux trois conditions suivantes. ?
Il est nécessaire que les trois conditions soient remplies de manière cumulative.
- L’intérêt est manifestement licite au regard du droit
- Il est déterminé de façon suffisamment claire et précise
- Il est réel et présent pour l’organisme concerné, et non fictif
1.15. Au regard de vos réponses aux questions précédentes, indiquez précisément la finalité du traitement
1.16. Au regard de vos réponses aux questions précédentes, indiquez précisément les intérêts légitimes en cause