En bref
L'intérêt légitime (art. 6.1.f RGPD) autorise le traitement de données sans consentement, à condition de documenter une mise en balance rigoureuse entre l'intérêt poursuivi et les droits des personnes concernées.
Définition et place de l'intérêt légitime parmi les bases légales
Art. 6, §1, f) Règl. (UE) 2016/679
« Le traitement est licite lorsqu'il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. »
Le test de mise en balance en trois étapes
Formaliser le LIA dans un document autonome et daté
Rédigez un Legitimate Interest Assessment pour chaque traitement fondé sur cette base. Ce document, daté et versé au registre des traitements prévu par l'article 30 du RGPD, démontre votre démarche de conformité proactive en cas de contrôle de la CNIL.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Cas d'usage admis et interactions avec d'autres réglementations
Consid. 47, Règl. (UE) 2016/679
« Le traitement de données à caractère personnel à des fins de prospection directe peut être considéré comme étant réalisé pour répondre à un intérêt légitime du responsable du traitement. L'existence d'une relation pertinente entre la personne et le responsable constitue un facteur à prendre en considération. »
Jurisprudence européenne structurante : de l'arrêt ASNEF à l'affaire Meta Platforms
CJUE, 24 nov. 2011, aff. jtes C-468/10 et C-469/10, ASNEF et FECEMD
« La Cour qualifie l'intérêt légitime de concept autonome du droit de l'Union et interdit aux États membres d'en restreindre le champ par des exclusions catégorielles non prévues par le texte européen. Un examen au cas par cas est requis. »
Source : CURIA — Cour de justice de l'Union européenne
CJUE, gde ch., 4 juill. 2023, aff. C-252/21, Meta Platforms Inc. c/ Bundeskartellamt
« Le simple intérêt économique du responsable de traitement ne constitue pas un intérêt légitime suffisant au sens de l'article 6, paragraphe 1, point f) du RGPD. La Cour exige une démonstration concrète de nécessité et la prise en compte des attentes raisonnables des personnes concernées. »
Source : CURIA — Cour de justice de l'Union européenne
Ne pas confondre intérêt économique et intérêt légitime au sens du RGPD
Depuis l'arrêt Meta Platforms, invoquer la rentabilité ou la compétitivité comme seule justification expose l'entreprise à une requalification du traitement et aux sanctions prévues par l'article 83 du RGPD, pouvant atteindre quatre pour cent du chiffre d'affaires mondial.
Transparence, droit d'opposition et régime des sanctions
Art. 21, §1 et §2 Règl. (UE) 2016/679
« La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'article 6, paragraphe 1, point f). Lorsque les données sont traitées à des fins de prospection directe, le droit d'opposition s'exerce sans motif. »
Omettre le droit d'opposition dans la politique de confidentialité
L'absence de mention explicite du droit d'opposition prévu à l'article 21 dans les documents d'information constitue une violation distincte des obligations de transparence, susceptible d'aggraver le montant de la sanction prononcée par la CNIL en cas de contrôle.
Questions fréquentes
L'intérêt légitime dispense-t-il totalement du consentement des personnes concernées ?
Oui, l'intérêt légitime constitue une base légale autonome qui ne requiert pas le consentement. Toutefois, cette dispense est conditionnée : l'entreprise doit réaliser un test de mise en balance documenté prouvant que ses intérêts ne sont pas supplantés par les droits fondamentaux des personnes concernées. L'absence de cette analyse expose à des sanctions pouvant atteindre quatre pour cent du chiffre d'affaires mondial.
Comment formaliser une analyse de mise en balance conforme aux attentes de la CNIL ?
La CNIL recommande de rédiger un Legitimate Interest Assessment structuré en trois volets : identification précise de l'intérêt poursuivi, démonstration de la nécessité du traitement et évaluation de la proportionnalité au regard des droits des personnes. Ce document daté doit être versé au registre des traitements prévu par l'article 30 du RGPD et actualisé lors de toute modification substantielle du traitement.
Un employeur peut-il surveiller les salariés en invoquant l'intérêt légitime ?
L'employeur peut fonder certains dispositifs de surveillance sur l'intérêt légitime, notamment la vidéosurveillance des locaux ou le contrôle des outils informatiques professionnels. La CNIL impose cependant de démontrer un risque objectif, de respecter le principe de proportionnalité et d'informer préalablement les représentants du personnel ainsi que chaque salarié individuellement des modalités du dispositif.
L'intérêt légitime autorise-t-il l'envoi de courriels commerciaux sans accord préalable ?
Le considérant 47 du RGPD admet la prospection directe comme intérêt légitime potentiel. En droit français, la prospection électronique auprès de particuliers reste soumise au consentement préalable. En revanche, la prospection entre professionnels peut s'appuyer sur l'intérêt légitime, à condition de proposer un mécanisme d'opposition simple et gratuit dès le premier message adressé au destinataire.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à La Seyne Sur Mer
- Procédure à Tarbes
- Procédure à Paris
- Procédure à Marseille
- Procédure à Lyon
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours