Intérêt légitime
Le traitement de données à caractère personnel peut être fondé sur l’intérêt légitime du responsable du traitement ou d’un tiers, sous réserve de respecter trois conditions cumulatives :
- la poursuite d’un intérêt légitime : l’intérêt doit être réel et actuel, licite au regard du droit et déterminé de façon claire et précise ;
- la nécessité du traitement : le traitement doit être indispensable à la réalisation de l’intérêt légitime poursuivi. Il doit également être proportionné, ce qui signifie qu’il ne doit pas aller au-delà de ce qui est strictement nécessaire pour atteindre son objectif ;
- l’absence de prévalence des droits et des libertés des personnes concernées, compte tenu de leurs attentes raisonnables : les intérêts du responsable du traitement ne doivent pas primer sur les droits fondamentaux des individus dont les données sont collectées. Une analyse d’impact doit être menée pour évaluer si le traitement porte une atteinte excessive à la vie privée des personnes concernée. Le responsable du traitement doit également identifier les conséquences de toutes sortes que son traitement peut avoir sur les personnes concernées.
Avant de mettre en place un traitement de données basé sur l’intérêt légitime, il est essentiel de peser les intérêts en jeu. Cela implique une évaluation concrète tenant compte des circonstances spécifiques du traitement. Cette analyse doit s’assurer que l’intérêt poursuivi ne crée pas un déséquilibre au détriment des droits des individus.
Si le traitement est jugé excessif ou trop intrusif, d’autres bases juridiques devront être envisagées.
De manière générale, « cette base légale concerne les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées ». – CNIL, L’intérêt légitime : comment fonder un traitement sur cette base légale ?, 02 décembre 2019.
Recherche scientifique
L’institution publique de recherche qui souhaite collecter et utiliser des données personnelles sur le fondement de l’intérêt légitime devra respecter les exigences précédemment exposées. Il devra donc opérer une pondération entre ses intérêts légitimes et les droits des personnes concernées.
Par exemple, il peut s’agir d’une « recherche utilisant des données personnelles et menée par le département R&D d’une société privée qui vise à étudier les algorithmes de calcul de risques financiers » – CNIL, Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?, 31 janvier 2022.
Cependant, la Commission nationale de l’informatique et des libertés rappelle que, au sens du RGPD, « l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions. Ces dernières doivent prioritairement se fonder sur la base légale relative à la mission d’intérêt public » – CNIL, Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ?, 31 janvier 2022.
Parce que les traitements de données à finalité historique, scientifique ou statistique poursuivent un but d’intérêt général, la notion d’intérêt légitime peut être particulièrement sollicitée, soit à l’égard des responsables du traitement eux-mêmes, soit à l’égard des tiers destinataires des résultats du traitement, notamment en cas de publication et de diffusion des résultats. C’est la raison pour laquelle l’on admet que, dans certaines circonstances liées aux nécessités de la recherche scientifique, le consentement n’ait pas à être obtenu des responsables de traitement.
Pour ce qui concerne la divulgation du traitement des données, la dérogation permet également de procéder à une publication scientifique sur la base d’un traitement de données personnelles auquel les personnes n’auraient pas consenti, à condition que les autres conditions soient respectées, en particulier celles relatives aux mesures de protection et de sécurité. D’une manière générale, c’est-à-dire qu’il s’agisse du responsable du traitement lui-même ou des destinataires des données, il y a lieu, pour procéder à la mise en balance des différents intérêts, de s’assurer de l’impact, tant positif que négatif, du traitement sur les personnes concernées et les éventuels risques qu’il peut entraîner (par exemple, exclusion, discrimination, diffamation). Cette analyse d’impact est réalisée au regard de la nature des données, des modalités du traitement (mise à disposition du public, interconnexion, etc.), des attentes raisonnables des personnes concernées et du contexte du traitement (statut du responsable du traitement et de la personne concernée.
Exemple
« Dans le cadre d’un programme lancé par le gouvernement et autorisé par un comité d’éthique compétent, des recherches sont menées sur la relation entre le divorce, le chômage des parents et la réussite scolaire des enfants. Sans faire partie des données sensibles, l’objet des recherches tient néanmoins à des questions qui, pour de nombreuses familles, seraient considérées comme personnelles et très intimes. Les recherches devraient permettre de mettre en place une assistance pédagogique spéciale ciblant les enfants qui seraient exposés, sinon à des risques d’absentéisme, de mauvais résultats scolaires et, parvenus à l’âge adulte, de chômage et de criminalité. La législation de l’État membre concerné autorise explicitement le traitement des données à caractère personnel (à l’exception des données sensibles) à des fins de recherches, pour autant que ces travaux soient nécessaires à la réalisation d’un intérêt public important et menés dans le respect de garanties adéquates, qui sont décrites en détail dans des dispositions d’exécution. Ce cadre juridique inclut des exigences spécifiques, mais aussi une structure de responsabilité qui permet l’évaluation au cas par cas de l’admissibilité des recherches et des mesures à appliquer en particulier pour protéger les personnes concernées.
Le chercheur dirige un centre de recherche auquel sont transmises les informations pertinentes, dans des conditions sécurisées, par le registre de population, les tribunaux, les services d’aide à l’emploi et les écoles. Le centre de recherche procède alors au « hachage » des identités individuelles pour que les enregistrements relatifs aux divorces, au chômage et aux résultats scolaires puissent être liés sans révéler les identités civiles des individus (par exemple, noms et adresses). Toutes les données originales sont ensuite définitivement supprimées. D’autres mesures sont prises pour assurer la séparation fonctionnelle (c’est-à-dire garantir que les données serviront uniquement à des fins de recherche) et réduire le risque de réidentification éventuelle.
Les membres du personnel qui travaillent au centre de recherche reçoivent une formation rigoureuse en matière de sécurité et sont personnellement responsables – voire passibles de poursuites pénales – pour tout manquement à la sécurité qui leur serait imputable. Des mesures techniques et organisationnelles sont prises, par exemple, pour garantir que les employés qui se servent de clés USB ne peuvent pas faire le sortir des données à caractère personnel du centre.
Le centre de recherche a un intérêt légitime à effectuer ces travaux, qui présentent un grand intérêt public. Les travaux sont aussi dans l’intérêt légitime des administrations de l’emploi, de l’éducation et d’autres organismes participant au programme, qui seront mieux à même de planifier et dispenser des services à ceux qui en ont le plus besoin. Les aspects du programme touchant à la vie privée des parents ou des enfants dont les données ont servi de base aux recherches ne prévalent pour l’intérêt légitime des organisations qui mènent ces travaux ».